Mieux exploiter le potentiel économique des données

Dans un contexte de concurrence mondiale autour des nouvelles technologies, l’utilisation des données recèle un potentiel économique très important.

Pour exploiter au mieux ce potentiel, l’Union européenne a adopté un règlement appelé « Data Governance Act » (DGA), applicable à compter du 24 septembre 2023.

Il vise à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation. Pour cela, il prévoit :

• de faciliter la réutilisation de certaines catégories de données détenues par des organismes du secteur public (informations commerciales confidentielles, propriété intellectuelle, données personnelles, etc.) ;
• une certification obligatoire pour les fournisseurs de services d’intermédiation de données ;
• une certification facultative pour les organismes pratiquant l’altruisme en matière de données.

Notez que le DGA ne crée pas une obligation d’autoriser la réutilisation des données pour les organismes publics. De même, il ne les exonère pas des obligations mises en place par le règlement général sur la protection des données personnelles (RGPD).

Avec le DGA, les particuliers vont pouvoir plus facilement autoriser l'utilisation des données les concernant, dans l'intérêt de la société, tout en ayant la garantie d'une protection totale de leurs données à caractère personnel.

Prenons l’exemple des personnes atteintes de maladies rares ou chroniques. Elles vont pouvoir, si elles le souhaitent, autoriser l'utilisation de leurs données afin d'améliorer le traitement de ces maladies.

Et grâce aux espaces de données à caractère personnel qui constituent de nouveaux outils et services de gestion des informations à caractère personnel, les particuliers vont :

• bénéficier d'un contrôle accru de leurs données ;
• pouvoir décider, de manière détaillée, de qui aura accès à leurs données et à quelle fin.

Du côté des entreprises, celles-ci vont :

• profiter de nouvelles opportunités commerciales ;
• voir diminuer les coûts d'acquisition, d'intégration et de traitement des données ;
• et voir se réduire les obstacles à l'entrée sur les marchés, tout comme les délais de mise sur le marché de nouveaux produits et services.

• Le partage de données pour servir la société

Grâce aux données récoltées, les organismes publics vont pouvoir élaborer des décisions et des politiques reposant sur des données probantes (améliorer les transports, par exemple).

Le principe va reposer sur la mise à disposition de données sans rétribution, pour un usage strictement non commercial, qui profite à des communautés ou à la société dans son ensemble, afin de rassurer le particulier ou l’entreprise qui délivre une donnée lui appartenant.

Dans cette optique, un formulaire de consentement commun dans l’UE va voir le jour. Il pourra être adapté aux besoins de chaque secteur et en fonction d'objectifs spécifiques.

Notez qu’une entreprise qui pratique l’altruisme en matière de données va pouvoir s’inscrire volontairement en tant qu'« organisation altruiste en matière de données » dans un nouveau registre public.

• La protection des données

Les entités qui reçoivent les données vont devoir garantir leur sécurité. Cela passe notamment par des solutions techniques, telles que l'anonymisation ou le traitement des données dans des infrastructures spécialisées, exploitées et contrôlées par le secteur public, mais aussi par des accords de confidentialité juridiquement contraignants que tout réutilisateur de données doit signer.

Pour chaque transfert de données à un réutilisateur, un mécanisme garantira le respect du RGPD et préservera la confidentialité commerciale des données.

La question de la protection va aussi impliquer les prestataires fiables de services de partage de données (des « intermédiaires de données » telles que les plateformes de données), qui vont mettre en commun et organiser les données de manière neutre afin d'accroître la confiance, et qui vont être soumis à un régime de notification.

Un intermédiaire de partage de données ne va pas pouvoir échanger les données dans son propre intérêt (par exemple, en les vendant à une autre société ou en les utilisant pour développer son propre produit). En outre, il va devoir se conformer à des exigences strictes destinées à garantir la neutralité.

Par ailleurs, cette activité va être ouverte aussi bien à des organisations autonomes qui fournissent uniquement des services de partage de données qu'à des entreprises offrant ce type de services parallèlement à d'autres services. 

Dans ce cas, l'activité de partage de données doit être strictement séparée des autres services. Les données et métadonnées acquises ne peuvent être utilisées que pour améliorer le service de partage de données.

Enfin, les intermédiaires de données vont être tenus de notifier à l'autorité publique compétente leur intention de fournir de tels services. Les autorités publiques vont alors surveiller le respect des exigences requises et la Commission européenne va tenir un registre des intermédiaires de données.

• Les espaces européens de données

Des espaces européens de données vont voir le jour pour permettre d'échanger des données provenant du secteur public et des entreprises dans l'ensemble de l’UE d'une manière fiable et à moindre coût.

L’objectif est de développer de nouveaux produits et services fondés sur les données en cause, notamment dans 9 secteurs stratégiques : la santé, l'environnement, l'énergie, l'agriculture, la mobilité, les finances, l'industrie manufacturière, l'administration publique et les compétences.

Surbooking et refus d’embarquement : une protection des passagers existe

Le surbooking ou surréservation est une pratique mise en place par les compagnies aériennes consistant en la mise en vente d’un nombre de billets supérieur au nombre de places disponibles sur un vol.

Pour les compagnies aériennes, cela permettrait de limiter les conséquences de l’absence de voyageurs au moment du vol.

Cependant, si tous les passagers se présentent, une situation problématique émerge, puisque tout le monde ne pourra pas monter dans l’avion…

Dans ce cas, la compagnie devra rechercher des passagers volontaires pour renoncer à ce vol. Faute de volontariat, elle sera amenée à désigner les personnes qui ne pourront pas embarquer.

En cas de désistement volontaire, le passager et la compagnie peuvent s’entendre sur les conditions de leur accord, mais lorsqu’une personne est désignée contre sa volonté, un régime de protection existe à l’échelle européenne.

Tous les vols ne sont, néanmoins, pas éligibles. Seuls peuvent en bénéficier les vols au départ et à destination de l’Europe, ceux au départ de l’Europe uniquement et ceux à destination d’Europe si la compagnie aérienne est immatriculée en Europe.

Un passager qui s’est vu refuser l’embarquement peut renoncer complétement à son vol ou décider d’attendre un autre vol.

Dans le premier cas, la compagnie doit procéder au remboursement complet du billet dans les sept jours.

Dans le second, elle doit proposer un autre vol dans des conditions similaires et sans surcoût et doit fournir toutes les commodités nécessaires en attendant (restauration, hébergement, communication).

Dans les deux cas, il est possible de faire une demande d’indemnisation par courrier recommandé avec accusé de réception auprès de la compagnie.

L’indemnisation, forfaitaire, varie de 125 € à 600 € selon le retard final vers la destination et la distance du trajet.

Entreprises : reconnaître les différents types d’attaques 

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) rappelle que les entreprises sont régulièrement l’objet de tentatives d’arnaque. Elle en donne plusieurs exemples.

Tout d’abord, l’arnaque aux annuaires professionnels : une entreprise qui vient de s’inscrire au Registre du commerce et des sociétés est démarchée par un escroc qui va lui proposer d’insérer ses coordonnées dans un annuaire en ligne pour se faire connaître, en contrepartie du versement d’une somme qui peut s’élever à plusieurs milliers d’euros… pour une prestation qui ne rapporte (quasiment) rien.

Ensuite, l’arnaque aux usurpations d’identité : les escrocs se font passer pour des organismes officiels dans le but de récupérer les données de l’entreprise, notamment bancaires, pour lui extorquer de l’argent.

Dans un genre similaire, il y a l’arnaque aux fausses obligations professionnelles : les escrocs, toujours en se faisant passer pour des organismes officiels, vont démarcher des professionnels pour les inciter, contre facturation, à se conformer à de nouvelles obligations réglementaires (accessibilité des locaux, RGPD, etc.).

Plus connue, il existe aussi l’arnaque au président : l’escroc contacte l’entreprise en se faisant passer pour le président de la société par mail ou par téléphone. Après avoir gagné la confiance de son interlocuteur, il va demander la réalisation d’un virement au caractère urgent et confidentiel.

Complétant ce rappel non exhaustif de la DGCCRF, un député s’est fait l’écho du développement de la technique du « spoofing » : afin d'installer la victime dans un environnement de confiance, l’escroc usurpe l'identité de sa banque en se présentant comme un conseiller bancaire ou un employé du service anti-fraude, pour récupérer ses données personnelles par téléphone, mail ou SMS. L’escroc prétend alors devoir réaliser un test de sécurité ou vérifier certains éléments pour bloquer les tentatives de fraude en cours. La victime est invitée à valider les opérations à travers ses moyens d'authentification forte. C’est ainsi la victime elle-même qui se retrouve à valider les opérations frauduleuses…

Entreprises : réagir face à une cyberattaque

Pour rappel, France Num est le service de l’État chargé d’accompagner la transformation numérique des entreprises.

Il vient de rappeler l’importance du dépôt de plainte lorsqu’une entreprise est victime d’une cyberattaque. 

Cette plainte doit être effectuée dans un délai de 72 heures après la découverte de l’attaque pour que l’entreprise puisse être indemnisée par son assureur (sous réserve que le contrat prévoit une indemnisation).

Pour porter plainte, il faut se rendre dans un commissariat de police ou à la gendarmerie : la plainte en ligne n’est, en effet, pas possible. Si l’envoi de la plainte par courrier au procureur de la République est envisageable, un déplacement auprès des forces de l’ordre reste recommandé.

Ce dépôt de plainte doit être préparé : il faut récupérer le maximum de preuves du piratage informatique (captures d’écrans, disques durs ou copie des disques durs des appareils infectés, clés USB, etc.).

Ensuite, sachez qu’il est possible de se faire accompagner et d’obtenir de l’aide :

• par téléphone via le service info escroquerie de la police nationale : 0 805 805 817 (numéro gratuit) ;
• en ligne via le chat internet du service consacré à la cybercriminalité de la gendarmerie, ouvert 24/24h.

Enfin, il ne faut pas oublier que l’entreprise doit également, dans le même délai de 72 heures, faire une déclaration auprès de la CNIL, si l’attaque a occasionné une violation des données personnelles détenues par l’entreprise.
 

Contrôle du secteur des assurances par la DGCCRF : mention « peut mieux faire » …

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) a rendu ses conclusions à la suite des contrôles effectués auprès d’établissements d’assurance : un tiers présente des anomalies et les pratiques problématiques peuvent être regroupées autour de 3 thèmes. 

Les pratiques abusives en matière de démarchage téléphonique

38 % des établissements ne respectent pas la règlementation en matière de démarchage téléphonique. 

Parmi les pratiques dénoncées, la DGCCRF a constaté que certains courtiers visaient particulièrement les personnes très âgées afin de leur faire souscrire des produits d’assurances dont ils n’ont pas forcément l’utilité. Pour cela, ils entretiennent un sentiment de confusion avec un discours trompeur et/ou confus, ou présentent un nouveau produit comme un simple avenant à leur contrat actuel. 

La réglementation est aussi mal appliquée concernant la signature électronique. La loi prévoit, en effet, un délai de 24 heures minimum entre la réception des documents contractuels et un nouvel appel téléphonique pour finaliser le contrat. Or ce délai n’est pas toujours respecté et les contrats sont parfois signés dans la foulée par le consommateur. 

Enfin, il est apparu que des consommateurs pouvaient faire l’objet d’un démarchage téléphonique malgré leur inscription sur la liste d’opposition, ce qui est interdit.

Transparence sur la souscription d’une assurance protection juridique 

Cette thématique comptabilise 20 % d’établissements en anomalies.

Pour mémoire, ce type d’assurance (protection juridique) permet à l’assuré d'obtenir des informations juridiques, de l’aide pour trouver une solution amiable dans un litige ou encore une défense devant la justice pour certaines procédures. 

Les informations précontractuelles sur ces garanties sont parfois incomplètes, trompeuses, manquantes ou délivrées de manière tardive. De plus, des clauses abusives ont été repérées directement dans les contrats. 

Remboursement incomplet en cas de résiliation anticipée 

Ici, près de la moitié des établissements ont présenté une anomalie, la pratique la plus fréquente consistant à ne pas rembourser la totalité des frais au consommateur et à lui délivrer une information incomplète, entretenant ainsi le flou sur la question. 
 

RGPD : de l’importance d’une bonne rédaction de la politique de confidentialité

Pour rappel, le règlement général sur la protection des données (RGPD) met de nombreuses obligations à la charge des organismes (collectivités territoriales, entreprises, associations), dont l’une est la rédaction d’une politique de confidentialité… qui ne doit pas être négligée…

Une société vient d’ailleurs de l’apprendre à ses dépens ! Après un contrôle, la CNIL l’a sanctionnée financièrement, jugeant sa politique de confidentialité trop légère :

• l’ensemble des finalités poursuivies par les traitements de données personnelles n’étaient pas décrites ;
• les finalités étaient exprimées dans des termes vagues et larges, ne permettant pas à l’utilisateur de comprendre précisément quelles données personnelles étaient utilisées et pour quels objectifs.

RGPD : des précisions sur le contenu du droit d’accès

Pour rappel, le RGPD prévoit un droit d’accès pour la personne dont les données personnelles sont collectées.

Un droit qu’a souhaité utiliser une personne travaillant dans une banque et également cliente de celle-ci, après avoir appris que ses données « client » avaient été consultées par des collègues.

Ici, elle a demandé à la banque de lui communiquer l’identité des personnes ayant consulté ses données, les dates exactes des consultations, ainsi que les finalités du traitement de ces données.

N’ayant pas obtenu gain cause, elle a saisi le juge, qui est venu préciser que :

• les informations relatives à des opérations de consultation des données personnelles portant sur les dates et les finalités de ces opérations sont des informations que l’utilisateur a le droit d’obtenir du responsable du traitement ;
• les informations relatives à l’identité des salariés ayant procédé aux consultations ne sont pas accessibles, à moins qu’elles soient indispensables pour permettre à l’utilisateur d’exercer effectivement ses droits et à condition qu’il soit tenu compte des droits et des libertés de ces salariés.

Associés de SCI : attention à vos créanciers !

Une société civile immobilière (SCI) emprunte de l’argent à une banque. Ne parvenant pas à récupérer ses fonds, la banque saisit le juge et demande la condamnation des associés de la SCI.

« Impossible ! », pour ces derniers : selon eux, en effet, la loi impose à tout créancier, comme la banque, de justifier d’une poursuite préalable et infructueuse de la société avant de venir rechercher leur responsabilité en leur qualité d’associés de la société.

« Cela a été fait ! », se justifie la banque. Pour preuve, elle a tenté de procéder à la délivrance d’un commandement aux fins de saisie-vente et a même essayé de saisir la somme sur les comptes bancaires de la SCI… en vain !

Mais pour les associés, les arguments de la banque ne sont pas de nature à prouver que cette obligation a été respectée.

Qu’en pense le juge ?

Il tranche en faveur de la banque ! Selon lui, les démarches de la banque peuvent tout à fait être qualifiées de poursuites préalables et infructueuses à l’encontre de la SCI, en raison notamment du fait que la société n’avait plus d’activité depuis environ 5 ans, plus aucun actif immobilier ni même d’adresse connue.

Répondant aux exigences de la loi, la banque peut donc poursuivre ses démarches à l’encontre des associés !

Déclaration du patrimoine immobilier : date limite au 31 juillet 2023

La taxe d’habitation est désormais supprimée pour les résidences principales. Afin de distinguer les immeubles exonérés de ceux encore soumis à taxation (résidences secondaires, logements vacants, etc.), l’administration fiscale demande à tous les propriétaires de déclarer leur patrimoine immobilier.

En pratique, pour remplir votre obligation, vous devez utiliser le service « Gérer mes biens immobiliers » disponible dans votre espace sécurisé sur le site impots.gouv.fr.

Initialement, cette déclaration devait être réalisée pour la fin du mois de juin 2023 au plus tard.

La fin de la période déclarative approchant à grand pas, et compte tenu de l’afflux de déclarations, l’administration fiscale vient d’annoncer qu’il sera finalement possible d’effectuer cette démarche jusqu’au 31 juillet 2023 inclus, sans pénalité.

Précisons que si vous n’avez pas accès à internet ou si vous rencontrez des difficultés pour faire votre déclaration, vous pouvez :

• contacter un agent de l’administration fiscale au 0 809 401 401 (service gratuit + prix d’un appel), du lundi au vendredi de 8h30 à 19h ;
• accéder à un ordinateur en libre-service et bénéficier d’un accompagnement au sein de votre service des impôts ou dans l’espace France services le plus proche de chez vous.

Résidence principale sinistrée et reconstruite : tout n’est pas perdu !

Un appartement, qui constituait la résidence principale de son propriétaire, est détruit par une explosion suivie d’un incendie.

À la suite de ce sinistre, le propriétaire engage des travaux de reconstruction au cours desquels il décide de le mettre en vente.

Bien que l’appartement soit resté inoccupé (car inhabitable) jusqu’à la réalisation effective de la vente, intervenue plusieurs années après le sinistre, le propriétaire peut-il bénéficier de l’exonération d’impôt sur le revenu réservée aux gains réalisés à l’occasion de la vente d’une résidence principale ?

Interrogée sur ce point, l’administration fiscale commence par rappeler que le gain réalisé à l’occasion de la vente d’un logement est exonéré d’impôt sur le revenu dès lors que ce dernier constituait la résidence principale du vendeur au jour de la cession.

Toutefois, le vendeur qui a dû libérer les lieux avant la vente ne perd pas nécessairement le bénéfice de cet avantage fiscal, dès lors que le délai pendant lequel le logement est resté inoccupé peut être considéré comme « normal » au regard des circonstances.

Tel est le cas, par exemple, du propriétaire qui est contraint de libérer les lieux avant la mise en vente de son appartement en raison d’un sinistre ayant rendu l’occupation du logement manifestement impossible, dès lors :

• que le logement constituait sa résidence principale au jour du sinistre ayant rendu le bien manifestement inhabitable à compter de ce jour et jusqu’à l’achèvement des travaux de reconstruction ;
• qu’à compter du sinistre, le propriétaire a fait son possible pour que la reconstruction du logement ait lieu dans les meilleurs délais et pour que la vente définitive intervienne dès l’achèvement des travaux ;
• que les démarches liées à la mise en vente et que la signature de la promesse de vente sont intervenues avant la date d’achèvement des travaux ;
• que la signature de l’acte authentique de vente est intervenue quelques jours après l’obtention de l’attestation de non contestation de la conformité des travaux de reconstruction au permis de construire ;
• que l’appartement est resté inoccupé durant toute la période comprise entre le sinistre et la vente.