Des conditions à remplir

Un délai. Si vous souhaitez vous opposer à l’enregistrement d’une marque, vous devez former une opposition devant le directeur général de l’Institut national de la propriété industrielle (INPI) dans un délai de 2 mois suivant la publication de la demande d’enregistrement.

Une atteinte à vos droits. Pour pouvoir former cette opposition, vous devez justifier d’une atteinte à vos droits antérieurs produisant leurs effets en France, concernant :

• une marque antérieure ;
• une marque antérieure jouissant d'une renommée ;
• une dénomination ou une raison sociale, s'il existe un risque de confusion dans l'esprit du public ;
• un nom commercial, une enseigne ou un nom de domaine, dont la portée n'est pas seulement locale, s'il existe un risque de confusion dans l'esprit du public ;
• une indication géographique enregistrée ou une demande d'indication géographique, sous réserve de l'homologation de son cahier des charges et de son enregistrement ultérieur ;
• le nom, l'image ou la renommée d'une collectivité territoriale ou d'un établissement public de coopération intercommunale ;
• le nom d'une entité publique, s'il existe un risque de confusion dans l'esprit du public ;
• une marque protégée dans un État partie à la convention de Paris pour la protection de la propriété industrielle.

Qui peut s’opposer ? Bien évidemment, le titulaire d’une marque antérieure peut former cette opposition. Mais ce n’est pas le seul… Peuvent aussi engager cette procédure :

• le mandataire spécialement désigné par le titulaire de la marque ;
• le bénéficiaire d’un droit exclusif d’exploitation ;
• le titulaire d’un nom de domaine ;
• etc.

Attention. Le recours à un mandataire pour former une opposition à l’enregistrement d’une marque est obligatoire dans les cas suivants :

• l’opposition est formée sur la base d’une marque appartenant à plusieurs propriétaires ;
• l’opposant n’est ni établi, ni domicilié dans un État membre de l’Union européenne ou dans un État partie à l’Espace économique européen.

Une procédure à suivre

Comment. L’opposition à l’enregistrement d’une marque se fait par écrit, directement sur le site internet de l’INPI.

Des justificatifs. À l’appui de votre demande, vous devez fournir les justificatifs suivants :

• l'identité de l'opposant, ainsi que les indications propres à établir l'existence, la nature, l'origine et la portée de ses droits ;
• les références de la demande d'enregistrement contre laquelle est formée l'opposition, ainsi que l'indication des produits ou services visés par l'opposition ;
• l'exposé des moyens sur lesquels repose l'opposition ;
• la justification du paiement de la redevance ;
• le cas échéant, le pouvoir du mandataire, sauf lorsqu'il a la qualité de conseil en propriété industrielle ou d'avocat.

Un coût. Le fait de former une opposition à l’enregistrement d’une marque n’est pas gratuit. Vous devrez vous acquitter de la somme de 400 € pour une opposition fondée sur un seul droit, auxquels s’ajoutent 150 € par droit antérieur supplémentaire. Le paiement s’effectue par voie électronique.

Une procédure en 2 temps. La procédure d’opposition à l’enregistrement d’une marque suit 2 étapes :

• une phase écrite, dite « phase d’instruction », pendant laquelle les parties vont pouvoir échanger leurs arguments ; cette phase peut durer de 6 mois à 1 an ;
• une décision : à l’issue de la phase d’instruction, en effet, le directeur de l’INPI dispose d’un délai de 3 mois pour rendre sa décision.

Création d’un code de conduite : pourquoi ? Pour qui ?

Code de conduite : c’est quoi ? Un « code de conduite » est un document élaboré par une organisation représentative d’un secteur d’activité (association, fédération professionnelle, etc.) pour accompagner les professionnels de ce secteur et faciliter leur mise en conformité au règlement général sur la protection des données (RGPD).

Pour mémoire. Le RGPD est un règlement européen encadrant le traitement des données personnelles (collecte, enregistrement, conservation, etc.) sur le territoire de l’Union européenne.

Un outil de conformité. Le code de conduite fait partie des 9 outils prévus par le RGPD permettant aux entreprises et organismes de gérer leur conformité et de démontrer qu’ils respectent la réglementation.

Un outil adapté. Le RGPD étant un règlement général applicable à tous les secteurs d’activité, le code de conduite permet de l’adapter à un secteur donné. Il s’agit donc d’un socle commun de bonnes pratiques prenant en compte les exigences d’une profession en particulier tout en respectant la réglementation.

Une démarche volontaire. L’élaboration d’un code de conduite relève d’une démarche volontaire de l’organisation qui en est à l’origine, ainsi que des professionnels qui décident, ou non, d’y adhérer.

Pourquoi élaborer un code de conduite ? Les apports d’un code de conduite sont multiples :

• il permet aux professionnels de démontrer leur conformité au RGPD ;
• il homogénéise les pratiques d’un secteur d’activité ;
• il facilite la mise en conformité des petites entreprises qui n’ont pas forcément les moyens de faire appel à des professionnels compétents en matière de règlementation sur la protection des données.

Pour qui ? Un code de conduite est élaboré pour les professionnels du secteur d’activité concerné, notamment pour les micro-entreprises (effectif inférieur à 10 personnes et chiffre d'affaires ou total du bilan annuel n'excédant pas 2 M€) et les petites et moyennes entreprises (effectif inférieur à 250 personnes et chiffre d’affaires annuel n'excédant pas 50 M€ ou total de bilan n'excédant pas 43 M€).

Code de conduite national ou européen ? Un code de conduite peut avoir une portée soit nationale et ainsi s’appliquer uniquement dans le pays concerné, soit européenne et ainsi s’appliquer dans l’ensemble des états membres de l’Union européenne.

Qui intervient dans la création d’un code de conduite ?

Un porteur. Le porteur du code de conduite est l’organisation représentative d’un secteur d’activité qui est à l’initiative de son élaboration.

Une autorité de contrôle. Les autorités de contrôle sont les organismes chargés de surveiller l’application du RGPD dans chaque état membre de l’Union européenne. En France, il s’agit de la Commission nationale de l’informatique et des libertés (CNIL). Cette autorité accompagne le porteur pendant l’élaboration du code et l’approuve une fois qu’il est terminé.

Un organisme de contrôle. L’organisme de contrôle est désigné par le porteur du code de conduite. Il a pour mission de vérifier la bonne application de ce code par les adhérents.

Au niveau européen. Lorsqu’il s’agit d’un code de conduite européen, une procédure d’approbation spécifique est mise en place faisant intervenir le Comité européen de la protection des données (CEPD) ainsi que la Commission européenne.

Quelles sont les étapes clés de l’élaboration d’un code de conduite ?

La rédaction du document. Tout code de conduite est destiné à retranscrire les dispositions du RGPD dans des termes clairs et compréhensibles pour faciliter leur application par les professionnels.

Des exigences à respecter. Pour que le code de conduite soit conforme et puisse être approuvé par la CNIL, l’organisme qui l’élabore doit impérativement respecter certaines exigences. Le document doit donc notamment :

• contenir des réponses aux questions qui se posent pour un secteur en matière de protection des données ; le contenu peut être large ou ciblé, c’est-à-dire qu’il peut s’attacher à un type d’opération de traitement particulier ;
• avoir un format facilitant sa compréhension ;
• contenir des solutions concrètes applicables par les adhérents ;
• contenir des garanties permettant de limiter les risques liés aux traitements de données personnelles par les professionnels du secteur (bonnes pratiques en matière de mesures de sécurité par exemple) ;
• établir des mécanismes de contrôle de la bonne application des dispositions qu’il contient par les adhérents ;
• inclure dans le projet une introduction présentant ses objectifs, son champ d’application et la manière dont il faciliterait l’application effective des dispositions du RGPD ;
• démontrer que l’organisation à l’origine du code représente bien le secteur d’activité concerné (précision du nombre d’adhérents par exemple) ;
• définir le champ d’application matériel (les traitements de données concernés) et territorial (l’État ou les États dans lequel ou lesquels il sera en vigueur) ;
• préciser s’il s’agit d’un code de conduite européen ou national ;
• désigner l’autorité de contrôle compétente (la CNIL) ;
• préciser les modalités d’application du code (modalité d’adhésion, processus de mise à jour, critères de sélection de l’organisme de contrôle, etc.) ;
• désigner l’organisme de contrôle chargé de vérifier la bonne application du code par les adhérents) ;
• etc.

Choix de l’organisme de contrôle. Ce choix s’effectue dès le début de l’élaboration du code de conduite et devra apparaître dans le projet du document.

L’approbation. Une fois que le code de conduite est rédigé, il doit être transmis à la CNIL pour être enregistré puis analysé par leur service. Débute alors une phase d’échanges entre le porteur du code et la CNIL pour effectuer des éventuelles modifications. A l’issue de cette phase, le code est ensuite approuvé.

À noter. La procédure d’approbation d’un code de conduite dure de 8 à 14 mois en moyenne.

Les missions de l’organisme de contrôle

Par qui ? L’organisme de contrôle ne doit pas être confondu avec l’autorité de contrôle (la CNIL par exemple) et ses missions ne doivent pas interférer avec celles de cette autorité.

Ses missions. L’organisme de contrôle est chargé de veiller à la bonne application du code de conduite dans lequel sont décrits les mécanismes lui permettant :

• d’organiser le suivi du code après son approbation ;
• d’effectuer les audits préalables à l’adhésion au code de conduite ;
• de traiter les réclamations relatives aux violations du code et de prendre, le cas échéant, les mesures appropriées ;
• de participer à sa mise à jour.

Elaboration d’un code de conduite : besoin d’aide ?

La CNIL vous accompagne. Lorsque vous souhaitez établir un code de conduite, la CNIL peut vous accompagner dès le début et pendant toute la durée d’élaboration du projet. De plus, un formulaire de contact est disponible ici pour vous permettre de poser toutes les questions concernant la procédure ou la méthodologie à respecter.

À noter. Le CEPD a publié des lignes directrices pour aider les organismes à appréhender les exigences de forme et de fond qu’il est nécessaire de respecter lors de l’élaboration d’un code de conduite.

      => Consultez ici les lignes directrices du CEPD.

Les codes de conduite approuvés. La CNIL référence ici l’ensemble des codes de conduite approuvés.

Transmission de documents à l’administration : le point sur la notion de « tiers autorisé » et de « RGPD »

Qu’est-ce qu’un tiers autorisé ? Un « tiers autorisé » est un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu'une Loi l'y autorise expressément.

Exemples. Il peut s’agir de l’administration fiscale, des organismes de sécurité sociale, des administrations de la justice, de la police et de la gendarmerie ou encore des huissiers de justice.

Conditions requises. Pour qu’un « tiers autorisé » puisse obtenir les informations réclamées, il doit respecter les conditions suivantes :

• sa demande doit être écrite et préciser les références du texte législatif qui la justifie ;
• sa demande doit viser des personnes nommément identifiées ou identifiables (il ne peut pas avoir accès à l'intégralité d'un fichier) ;
• sa demande doit être ponctuelle ;
• sa demande doit préciser les catégories de données auxquelles il souhaite accéder.

Qu’est-ce que le RGPD ? Le Règlement Général sur la Protection des Données (RGPD) est le texte législatif, issue de l’Union Européenne (UE), qui protège les données à caractère personnel.

Transmission de documents à l’administration : la protection du RGPD

Tiers autorisé + RGPD : quelles conséquences ? Lorsqu’un « tiers autorisé » sollicite la communication d’un document, il va prendre connaissance de données à caractère personnel protégées par le RGPD. Dans ce cas, au regard de cette règlementation particulière, de quoi faut-il s’assurer ?

Réponse de la CNIL. Pour répondre à cette question, la CNIL a publié un guide pratique, consultable à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/guide_tiers_autorises.pdf.

Quel objectif ? Au regard du RGPD, l’enjeu principal pour le responsable de traitement de l’entreprise recevant une demande d’un tiers autorisé est de veiller à se conformer aux demandes prévues par les dispositions légales et de garantir la sécurité des données à caractère personnel traitées.

Les étapes à respecter. Pour atteindre son objectif de protection des données à caractère personnel, le responsable de traitement doit respecter 3 étapes :

• étape 1 : identifier une demande de « tiers autorisé » ;
• étape 2 : vérifier la source et le périmètre de la demande ;
• étape 3 : veiller à sécuriser la communication.

Étape 1. 2 scenarii sont ici possibles :

• si la demande mentionne une référence légale ou réglementaire précise, alors le responsable de traitement doit vérifier la réalité des dispositions mentionnées ;
• si la demande ne mentionne aucune disposition particulière, alors le responsable de traitement doit demander au « tiers autorisé » s’il agit en application d’un texte et de préciser la référence légale afin que la vérification précitée puisse être menée.

Attention ! Si le responsable de traitement adresse des données à caractère personnel à un « tiers autorisé » sans qu’une telle vérification n’ait été réalisée, il s’expose à des sanctions de la CNIL.

Quelles sanctions ? Pour rappel, le non-respect de la réglementation sur la protection des données peut être sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d'euros.

Étape 2. À cette étape, le responsable de traitement doit vérifier que l’émetteur de la demande de communication de documents provient effectivement de l’organisme mentionné dans la demande.

Exemples. Il s’agit, par exemple, pour le responsable de traitement d’effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration sur son site web (il ne faut pas utiliser le numéro fourni par le demandeur) ou de vérifier que l’adresse postale communiquée correspond à celle diffusée par le « tiers autorisé » sur son site web.

Bon à savoir. Si un responsable de traitement réalise a posteriori que des données à caractère personnel ont été transmises « à tort », il doit aussitôt envisager de notifier une violation de données à la CNIL.

Vérification juridique. À cette 2^e étape, le responsable de traitement doit aussi vérifier que la demande est effectivement autorisée par la disposition légale invoquée. Ainsi, il doit s’assurer que :

• les informations transmises sont effectivement visées par les dispositions invoquées par le « tiers autorisé » ;
• les informations réunies, avant transmission, ne contiennent pas de données à caractère personnel « en trop », c’est-à-dire non demandées par le « tiers autorisé » dans sa requête.

Bon à savoir. Lorsque le « tiers autorisé » sollicite la communication des noms et prénoms des salariés d’un service, le responsable de traitement peut, par commodité, transmettre la copie de l’organigramme correspondant, à condition de masquer les informations « en trop » (photo, adresse de messagerie et numéro de téléphone).

Le point sur le secret professionnel. Le secret professionnel doit être opposé par le responsable de traitement seulement si aucune disposition ne prévoit sa levée. Mais, en pratique, il est rarement possible d’opposer le secret professionnel à un « tiers autorisé » comme l’administration fiscale, par exemple…

Étape 3. Dans cette dernière étape, va se poser la question de la détermination du canal de transmission des informations. Le responsable de traitement doit, à ce titre, privilégier dans la mesure du possible les modalités de communication offrant un niveau de sécurité adapté.

Conseil. Le choix par le « tiers autorisé » de modalités d’échanges jugées peu sûres par le responsable de traitement ne peut pas, en principe l’autoriser à s’opposer à la transmission. Il est cependant conseillé au responsable de traitement d’adresser cette observation à l’organisme tiers autorisé et de conserver tout échange et élément jugé utile sur ce point.

Transmission de documents à l’administration : quelles procédures ?

Un recueil des procédures « tiers autorisés ». La CNIL a rassemblé les procédures « tiers autorisés » en raison de leur fréquence d’utilisation dans un document consultable à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/recueil-procedures-tiers-autorises.pdf.

Découpage du recueil. Le recueil est découpé selon le champ d’intervention du « tiers autorisé », à savoir :

• enquêtes juridictionnelles ;
• enquêtes administratives ;
• enquêtes économiques ;
• enquêtes sociales, travail et santé.

RGPD et droit d’accès : pour qui ?

Un droit d’accès… à quoi ? Le droit d’accès, prévu dans le cadre du RGPD, est le droit d’une personne physique d’accéder au traitement de ses données à caractère personnel par un professionnel ou une administration.

Concrètement. La personne va recevoir une confirmation écrite que ses données sont traitées et peut obtenir, si elle le souhaite, la copie de ses données traitées.

Qui demande ? La demande peut être formulée par un client à une entreprise, par un salarié à son employeur, par un particulier à l’administration, par un patient à son médecin, etc.

Mandat. La personne qui souhaite accéder à ses données personnelles qui font l’objet d’un traitement peut confier à une autre personne la tâche d’exercer son droit par un mandat.

À noter. La CNIL a récemment publié une recommandation relative à l’encadrement de la mission et du rôle des mandataires chargés d’exercer les droits des personnes dont les données personnelles sont traitées. Pour plus de détail, cliquez ici.

Droit d’accès à ses données. Le droit d’accès d’une personne ne donne le droit d’accéder qu’à ses propres données. Ainsi, une personne ne peut pas demander à accéder aux données à caractère personnel de son conjoint, en l’absence de mandat.

RGPD et droit d’accès : la procédure à suivre

Un délai à respecter. Lorsqu’une personne demande à accéder à ses données à caractère personnel que vous collectez, vous avez 1 mois pour lui répondre.

Un délai prolongeable. Le délai peut être prolongé de 3 mois « compte tenu de la complexité et du nombre de demandes ». Toutefois, il faut en informer la personne qui demande à bénéficier de son droit d’accès (ou son mandataire) dans le délai d’1 mois.

Un coût ? Par principe, une demande d’accès aux données personnelles est gratuite. Toutefois, il est possible de prévoir des frais, dès lors que ceux-ci sont « raisonnables et basés sur les coûts administratifs », et notamment :

• pour toute copie supplémentaire demandée par le demandeur ;
• si la demande est manifestement infondée ou excessive.

Bon à savoir (1). S’il arrive que le demandeur se déplace dans votre local et si vous n’êtes pas en mesure de lui fournir ses données à caractère personnel, il faut lui remettre un avis de réception daté et signé.

Bon à savoir (2). Si vous envoyez les informations demandées par courrier, il est conseillé de le faire par lettre recommandée avec avis de réception.

Sous-traitant. Le cas échéant, n’hésitez pas à demander de l’aide à votre sous-traitant pour répondre à la demande d’accès d’un client, d’un salarié, etc.

Refuser le droit d’accès ? Vous avez le droit de refuser une demande d’accès si :

• les demandes sont manifestement infondées ou excessives notamment par leur caractère répétitif ;
• les données ne sont plus conservées ou ont été effacées.

À noter. Un refus au droit d’accès doit toujours être motivé. En cas de refus, vous devez également informer le demandeur des voies et délais de recours dont il dispose.

Demande d’accès à vos données personnelles : pensez aux courriers types !

Le contexte. Pour accompagner les personnes désireuses d’interagir avec les organismes qui détiennent leurs données personnelles, la CNIL a mis en ligne divers courriers types aux fins de faciliter leur démarche.

Quels domaines ? Les courriers types proposés ont trait aux domaines suivants :

• internet ;
• travail ;
• banque-crédit ;
• droits ;
• commerce-publicité ;
• télécommunications ;
• santé ;
• transport ;
• logement.

Pour quelles actions ? Les démarches facilitées par ces modèles de courrier sont diverses et touchent notamment :

• à ne plus recevoir de publicités ;
• à exercer son droit d'accès à ses données personnelles ;
• à connaître les informations détenues par un établissement financier ;
• à accéder au fichier central des chèques (FCC) ;
• à rectifier des données incomplètes ou inexactes ;
• etc.

Pour accéder à ces courriers, cliquez ici.

Protection du secret des affaires : focus sur l’information protégée

Secret des affaires = 3 critères. Pour qu’une information puisse bénéficier de la protection du secret des affaires, il faut que 3 critères cumulatifs soient remplis.

Critère 1. L’information ne doit pas être connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité.

Critère 2. L’information doit avoir une valeur commerciale, effective ou potentielle, du fait de son caractère secret.

Critère 3. L’information doit faire de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret.

Détenteur légitime. Cette information ne peut être détenue que par un « détenteur légitime » qui se définit comme celui « qui en a le contrôle de façon licite ».

Obtention par une tierce personne. Outre un détenteur légitime, des personnes tierces peuvent obtenir une information protégée par le secret des affaires. La Loi définit des modes d’obtention licite et illicite d’un secret des affaires.

Obtention licite. Constituent des modes d'obtention licite d'un secret des affaires :

• une découverte ou une création indépendante ;
• l'observation, l'étude, le démontage ou le test d'un produit ou d'un objet qui a été mis à la disposition du public ou qui est de façon licite en possession de la personne qui obtient l'information, sauf stipulation contractuelle interdisant ou limitant l'obtention du secret.

Obtention illicite. L'obtention d'un secret des affaires est illicite lorsqu'elle est réalisée sans le consentement de son détenteur légitime et qu'elle résulte :

• d'un accès non autorisé à tout document, objet, matériau, substance ou fichier numérique qui contient le secret ou dont il peut être déduit, ou bien d'une appropriation ou d'une copie non autorisée de ces éléments ;
• de tout autre comportement considéré, compte tenu des circonstances, comme déloyal et contraire aux usages en matière commerciale.

Utilisation et divulgation illicite. L'utilisation ou la divulgation d'un secret des affaires est illicite lorsqu'elle est réalisée sans le consentement de son détenteur légitime par une personne qui a obtenu le secret dans des conditions illicites ou qui agit en violation d'une obligation de ne pas divulguer le secret ou de limiter son utilisation.

Connaissance de l’illicéité (1). La production, l'offre ou la mise sur le marché, de même que l'importation, l'exportation ou le stockage à ces fins de tout produit résultant de manière significative d'une atteinte au secret des affaires sont également considérés comme une utilisation illicite lorsque la personne qui exerce ces activités savait, ou aurait dû savoir au regard des circonstances, que ce secret était utilisé de façon illicite.

Connaissance de l’illicéité (2). L'obtention, l'utilisation ou la divulgation d'un secret des affaires est aussi considérée comme illicite lorsque, au moment de l'obtention, de l'utilisation ou de la divulgation du secret, une personne savait, ou aurait dû savoir au regard des circonstances, que ce secret avait été obtenu, directement ou indirectement, d'une autre personne qui l'utilisait ou le divulguait de façon illicite.

Protection du secret des affaires : l’inopposabilité du secret des affaires

Inopposabilité du secret des affaires : prévue par un texte législatif. Le secret des affaires n'est pas opposable lorsque l'obtention, l'utilisation ou la divulgation du secret est requise ou autorisée par la réglementation de l'Union européenne, les traités ou accords internationaux en vigueur ou le droit français, notamment dans l'exercice des pouvoirs d'enquête, de contrôle, d'autorisation ou de sanction des autorités juridictionnelles ou administratives.

Inopposabilité du secret des affaires : en justice (1). A l'occasion d'une instance relative à une atteinte au secret des affaires, le secret n'est pas opposable lorsque son obtention, son utilisation ou sa divulgation est intervenue :

• pour exercer le droit à la liberté d'expression et de communication, y compris le respect de la liberté de la presse, et à la liberté d'information telle que proclamée dans la Charte des droits fondamentaux de l'Union européenne ;
• pour révéler, dans le but de protéger l'intérêt général et de bonne foi, une activité illégale, une faute ou un comportement répréhensible, y compris lors de l'exercice du droit d'alerte ;
• pour la protection d'un intérêt légitime reconnu par la réglementation de l'Union européenne ou le droit français.

Inopposabilité du secret des affaires : en justice (2). Lorsque, à l'occasion d’un litige, il est fait état ou est demandé la communication ou la production d'une pièce dont il est allégué par une partie ou un tiers ou dont il a été jugé qu'elle est de nature à porter atteinte à un secret des affaires, le juge peut, d'office ou à la demande d'une partie ou d'un tiers, si la protection de ce secret ne peut être assurée autrement et sans préjudice de l'exercice des droits de la défense :

• prendre connaissance seul de cette pièce et, s'il l'estime nécessaire, ordonner une expertise et solliciter l'avis, pour chacune des parties, d'une personne habilitée à l'assister ou la représenter, afin de décider s'il y a lieu d'appliquer des mesures de protection au titre du secret des affaires ;
• décider de limiter la communication ou la production de cette pièce à certains de ses éléments, en ordonner la communication ou la production sous une forme de résumé ou en restreindre l'accès, pour chacune des parties, au plus à une personne physique et une personne habilitée à l'assister ou la représenter ;
• décider que les débats auront lieu et que la décision sera prononcée en chambre du conseil ;
• adapter la motivation de sa décision et les modalités de la publication de celle-ci aux nécessités de la protection du secret des affaires.

Inopposabilité du secret des affaires : en justice (3). Les personnes ayant eu accès à une pièce protégée par le secret des affaires au cours d’un litige sont tenues par une obligation de confidentialité qui perdure à l’issue de la procédure (sauf décision judiciaire contraire).

Inopposabilité du secret des affaires : lors d’un conflit avec un salarié. À l'occasion d'une instance relative à une atteinte au secret des affaires, le secret n'est pas opposable lorsque :

• l'obtention du secret des affaires est intervenue dans le cadre de l'exercice du droit à l'information et à la consultation des salariés ou de leurs représentants ;
• la divulgation du secret des affaires par des salariés à leurs représentants est intervenue dans le cadre de l'exercice légitime par ces derniers de leurs fonctions, pour autant que cette divulgation ait été nécessaire à cet exercice.

Atteinte à la protection des affaires : comment réagir ?

Ça arrive… Il peut arriver qu’une entreprise doive faire face à une atteinte à l’une de ses informations qu’elle estime protégée par le secret des affaires. Dans ce cas, il existe des mesures à prendre pour qu’elle puisse défendre ses intérêts.

Que l’atteinte au secret des affaires soit interne ou externe… La 1^re chose à faire est de porter plainte auprès des forces de l’ordre et de faire appel à ses conseils spécialisés.

Faites cesser l’atteinte ! Il faut saisir rapidement le juge pour faire cesser l’atteinte. Le juge peut alors prescrire, y compris sous astreinte, toute mesure proportionnée de nature à empêcher ou à faire cesser une l’atteinte. Il peut notamment :

• interdire la réalisation ou la poursuite des actes d'utilisation ou de divulgation d'un secret des affaires ;
• interdire les actes de production, d'offre, de mise sur le marché ou d'utilisation des produits soupçonnés de résulter d'une atteinte significative à un secret des affaires, ou d'importation, d'exportation ou de stockage de tels produits à ces fins ;
• ordonner la saisie ou la remise entre les mains d'un tiers de tels produits, y compris de produits importés, de façon à empêcher leur entrée ou leur circulation sur le marché.

À noter. Lorsque le juge limite l’une des mesures précitées dans le temps, il faut que cette limite soit suffisante pour éliminer tout avantage commercial ou économique que l'auteur de l'atteinte au secret des affaires aurait pu tirer de l'obtention, de l'utilisation ou de la divulgation illicite du secret des affaires.

Un coût. Sauf circonstances particulières et sans préjudice des dommages-intérêts qui pourraient être réclamés, les mesures précitées sont ordonnées aux frais de l'auteur de l'atteinte.

Versement d’une provision. Le juge peut conditionner la mise en œuvre des mesures précitées au versement d’une somme d’argent par l’entreprise qui se dit victime d’une atteinte au secret des affaires. Cette somme vise à assurer l'indemnisation du préjudice éventuellement subi par la personne accusée à tort ou par un tiers touché par ces mesures, si l’action en justice est par la suite jugée non fondée.

Et en matière administrative ? Le juge des référés en matière administrative peut être saisi afin de prévenir ou faire cesser une atteinte au secret des affaires. Il peut ordonner en urgence des mesures provisoires (listées ci-dessus), et peut assortir celles-ci d’une « astreinte », c’est-à-dire une condamnation pécuniaire dont le montant augmente en fonction du nombre de jours de retard d’exécution.

Atteinte au secret des affaires : les mesures procédurales

Des pièces protégées placées sous séquestre. Le juge a la possibilité d’ordonner d'office le placement sous séquestre provisoire des pièces demandées afin d'assurer la protection du secret des affaires.

Faire des copies des pièces protégées ? Au nom de la protection du secret des affaires, lorsque le juge restreint l'accès des pièces et autres documents utiles au déroulé de la procédure aux seules personnes habilitées à assister ou représenter les parties, il peut également décider que ces personnes ne peuvent pas en faire de copie ou de reproduction, sauf accord du détenteur de la pièce.

À noter. A peine d'irrecevabilité, la partie ou le tiers à la procédure qui invoque la protection du secret des affaires pour une pièce dont la communication ou la production est demandée remet au juge, dans le délai fixé par celui-ci :

• la version confidentielle intégrale de cette pièce ;
• une version non confidentielle ou un résumé ;
• un mémoire précisant, pour chaque information ou partie de la pièce en cause, les motifs qui lui confèrent le caractère d'un secret des affaires.

Produire une pièce intégralement. Le juge peut ordonner la communication ou la production de la pièce dans sa version intégrale lorsque celle-ci est nécessaire à la solution du litige, alors même qu'elle est susceptible de porter atteinte à un secret des affaires. Dans ce cas, le juge doit désigner la ou les personne(s) pouvant avoir accès à la pièce dans sa version intégrale. Lorsqu'une des parties est une société, il doit désigner, après avoir recueilli son avis, la ou les personne(s) physique(s) pouvant, outre les personnes habilitées à assister ou représenter les parties, avoir accès à la pièce.

Le jugement : une publication occultée ? Une version non confidentielle de la décision, dans laquelle sont occultées les informations couvertes par le secret des affaires, peut être remise aux tiers et mise à la disposition du public sous forme électronique.

Publication de la sanction. Le juge peut ordonner que la décision judiciaire soit publiée (intégralement ou par extraits) dans des journaux ou sur des sites Internet, selon des modalités précisées dans cette décision. Cette publication se fait au frais de l’auteur de l’atteinte.

Procédure abusive. Lorsque la procédure lancée par une personne qui s’estime victime d’atteinte au secret des affaires est manifestement abusive, celle-ci peut être condamnée au paiement d'une amende dont le montant ne peut être supérieur à 20 % du montant de la demande de dommages-intérêts. En l'absence de demande de dommages et intérêts, le montant de l'amende ne peut excéder 60 000 €.

5 ans ! Les actions relatives à une atteinte au secret des affaires sont prescrites par 5 ans à compter des faits qui en sont la cause. La personne qui porte atteinte au secret des affaires engage, en outre, sa responsabilité civile.

Atteinte au secret des affaires : en cas d’atteinte interne

Ça arrive aussi… Dans l’hypothèse où l’atteinte au secret des affaires provient de l’intérieur de l’entreprise, le dirigeant va devoir constituer, avec l’aide de ses conseils, un dossier complet et étayé contre le collaborateur fautif : description précise de la situation et des faits, attestations éventuelles de témoins, dossier du salarié reprenant son parcours et sa situation dans l’entreprise (ancienneté, fonctions occupées, dossier disciplinaire, etc.) qui pourront constituer des circonstances aggravantes de la faute commise, etc.

Il faut réagir rapidement ! Si malgré les protections mises en place, l’entreprise est victime d’une atteinte au secret des affaires, le dirigeant doit réagir très rapidement, que ce soit pour un dépôt de plainte ou pour sanctionner lui-même un comportement fautif d’un salarié, ou plus exactement pour engager des poursuites disciplinaires (à cette fin, il ne dispose que d’un délai de 2 mois à partir du moment où il a eu connaissance des faits fautifs).

Attention ! Le dossier doit être constitué rapidement et discrètement : si le collaborateur fautif venait à apprendre qu’une enquête est menée contre lui, il pourrait, en effet, faire disparaître les preuves existantes.

Neutraliser les actions malveillantes. Une fois que le dossier est suffisamment étayé de pièces justificatives, il faut mettre à pied le salarié pour éviter qu’il ne poursuive ces agissements. Mais il faut ici faire attention : il doit s’agir d’une mise à pied conservatoire (mesure provisoire préalable à un éventuel licenciement), et dont l’objectif est d’écarter immédiatement le salarié de l’entreprise jusqu’à la fin de la procédure, et non d’une mise à pied disciplinaire, qui constitue, en tant que telle, une sanction.

À noter. Si vous recourez à la mise à pied disciplinaire, vous ne pourrez plus envisager contre le salarié fautif un licenciement puisqu’une même faute ne peut pas être sanctionnée deux fois.

Licencier le salarié ? Avant tout, il faut rappeler qu’il est important pour le chef d’entreprise de qualifier correctement la faute commise par le collaborateur. Pour mémoire, il existe différents types de faute : la faute légère, la faute sérieuse, la faute grave et la faute lourde.

     =>  Pour en savoir plus, consultez notre fiche « Un salarié commet une faute : qualifier la faute »

Lanceurs d’alerte. Lorsque l’atteinte à un secret des affaires provient d’un collaborateur, il faut être vigilant car le juge peut considérer, par la suite, que ce collaborateur est protégé par la réglementation des lanceurs d’alerte.

     =>  Pour en savoir plus, consultez notre fiche « Lanceurs d’alerte : ce qu’il faut savoir »

RGPD : un guide pratique publié par la CNIL

Un guide pratique pour les PME… Le guide pratique publié par la CNIL vise à expliquer en des termes simples le contenu du règlement général sur la protection des données (RGPD) et les nouvelles obligations qui en découlent et que vous devez respecter depuis le 25 mai 2018.

… identifiant les grandes étapes pour vous protéger. Ce guide pratique a identifié plusieurs grandes étapes, que vous devez respecter, afin d’être en règle vis-à-vis de la nouvelle réglementation relative à la protection des données personnelles.

6 parties. Ce guide comporte 6 parties dont les intitulés sont les suivants :

• « Pourquoi ce nouveau règlement ? »
• « Quels sont les 6 avantages pour votre PME ? »
• « Données personnelles, traitements de données : de quoi parle-t-on ? »
• « Comment passer à l’action ? »
• « La sous-traitance »
• « Traitements de données à risques : êtes-vous concerné ? »

=> Consultez le guide pratique de sensibilisation au RGPD pour les PME

RGPD : les grandes étapes identifiées par la CNIL

Les origines du RGPD. Dans un 1^er temps, la CNIL explique pourquoi la réglementation a été modifiée. L’objectif est double :

• harmoniser les règles européennes afin d’offrir un cadre juridique unique aux professionnels ;
• mettre fin à la distorsion de concurrence désavantageant parfois les entreprises européennes.

Une exception française ? La CNIL rappelle ensuite qu’il n’existe pas d’exception au RGPD pour les PME françaises. Toutefois, selon leur activité, elles seront plus ou moins impactées par la nouvelle réglementation.

Qui est concerné par le RGPD ? Retenez que le RGPD met sur le même pied d’égalité les entreprises établies au sein de l’UE et celles basées hors de l’UE (dès lors que l’activité de ces entreprises cible des résidents européens).

6 avantages pour votre PME. La CNIL a identifié 6 avantages créés par le RGPD pour votre PME, à savoir :

• renforcer le lien de confiance à votre égard (respecter le RGPD permet de valoriser votre image d’entreprise sérieuse et responsable et d’améliorer votre image de marque) ;
• améliorer votre efficacité commerciale (vos fichiers prospects et clients seront à jour, vous allez donc gagner en efficacité et en productivité) ;
• mieux gérer votre entreprise (la tenue à jour de vos fichiers va vous permettre d’optimiser vos investissements) ;
• améliorer la sécurité des données de votre entreprise (les données personnelles doivent faire l’objet de mesures de sécurité particulières) ;
• rassurer vos clients et vos fournisseurs et ainsi développer votre activité (vos clients et vos fournisseurs seront rassurés si vous respectez le RGPD : vous aurez ainsi un avantage concurrentiel) ;
• créer de nouveaux services (la création de nouveaux droits par le RGPD, comme le droit à la portabilité des données, va permettre de créer de nouveaux services).

Données personnelles. Ensuite, le guide édité par la CNIL explique ce qu’est une donnée personnelle : il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».

Exemple.À titre d’illustration, la CNIL donne l’exemple suivant : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achat, est considérée comme un traitement de données personnelles donnant lieu au respect du RGPD.

Traitement de données personnelles. Il peut s’agir de la tenue d’un fichier clients, d’une collecte de coordonnées de prospects via un questionnaire, d’une mise à jour d’un fichier de fournisseurs, etc.

Vos actions. La CNIL a identifié 4 actions principales que vous devez mener pour entamer votre mise en conformité au RGPD, à savoir :

• recensez vos fichiers ;
• faites le tri dans vos fichiers ;
• respectez les droits des personnes (droit à la portabilité des données, droit d’accès, etc.) ;
• sécurisez vos données.

Conseil. Dans son guide pratique, la CNIL conseille de demander à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot de passe » chaque année. Si ce taux est faible ou nul, c’est que votre politique de gestion des mots de passe n’est pas assez exigeante.

Évaluez votre niveau de sécurité. Il faut ici vous poser quelques questions, comme par exemple :

• les comptes utilisateurs sont-ils protégés par des mots de passe suffisamment complexes ?
• les accès aux locaux sont-ils sécurisés ?
• avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?

Traitement de données à risques : êtes-vous concerné ? 8 traitements de données à risques font l’objet de dispositions spécifiques. Il s’agit de ceux ayant pour objet ou pour effet :

• l’évaluation d’aspects personnels ou la notation d’une personne (le scoring financier, par exemple) ;
• une prise de décision automatisée ;
• la surveillance systématique de personnes (la télésurveillance, par exemple) ;
• le traitement de données sensibles (la santé ou la biométrie, par exemple) ;
• le traitement de données concernant des personnes vulnérables (les mineurs, par exemple) ;
• le traitement à grande échelle de données personnelles ;
• le croisement d’ensembles de données ;
• l’exclusion du bénéfice d’un droit, d’un service ou d’un contrat.

Attention ! Pour la CNIL, si vos traitements de données répondent à au moins 2 de ces 9 critères, vous devez mener une analyse d’impact, avant de commencer les opérations de traitement.

=> Pour en savoir plus sur l’analyse d’impact, consultez notre fiche « Organiser la protection des données personnelles (RGPD) »

Le point sur la sous-traitance. Un sous-traitant sera, par exemple, un hébergeur de données : ce dernier doit proposer à ses clients de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée convenue avec vous. Le sous-traitant est tenu d’une obligation de conseil à l’égard de ses clients. Par exemple, il doit insister auprès d’eux pour les mises à jour de logiciel. Vous devez impérativement signer un contrat avec votre sous-traitant. Sachez que des exemples de clauses sont disponibles sur le site de la CNIL (https://www.cnil.fr/professionnel).

Escroquerie aux faux ordres de virement : un mode opératoire identique

Une multiplication de cas d’escroqueries… Depuis quelques années, le nombre d’entreprises victimes d’escroquerie aux faux ordres de virement augmente. La technique des fraudeurs repose toujours sur le même principe : le « social engineering ». C’est une méthode d’escroquerie qui vise à soutirer des informations ou de l’argent sans que la victime ne s’en rende compte.

Quel est mode opératoire des escrocs ? Appliquée à l’escroquerie aux faux ordres de virement, cette méthode prend la forme suivante : l’escroc contacte l’entreprise, souvent une entreprise de grande taille et généralement la personne qui s’occupe de la comptabilité, et se faisant passer pour une personne à haute responsabilité (souvent le président de la société). Une fois la confiance instaurée, l’escroc va demander que soit réalisé un virement international non planifié. Ce virement doit alors être effectué rapidement et confidentiellement.

Typologies d’escroquerie. L’escroquerie aux faux ordres de virement recouvre plusieurs types d’escroquerie, à savoir :

• l’arnaque au président : l’escroc se fait passer pour le président de la société ;
• l’arnaque au « changement de RIB », également appelée « fraude au fournisseur » : l’escroc s’adresse aux services de comptabilité en se faisant passer pour un fournisseur ;
• l’arnaque au faux technicien : l’escroc se fait passer pour un technicien informatique effectuant de prétendues opérations de maintenance ;
• la fraude au faux ministre : l’escroc se fait passer pour un ministre et cherche à convaincre la victime de transférer des fonds à l’étranger prétendument pour lutter contre le terrorisme.

Escroquerie aux faux ordres de virement : protéger son entreprise

Des réflexes sont à adopter ! Pour ne pas être victime d’une escroquerie aux faux ordres de virement ou tout du moins réduire les risques, il existe 2 réflexes à adopter.

Formez vos collaborateurs ! La 1^re chose à faire est de former vos collaborateurs : alertez-les sur l’importance de ne pas divulguer d’informations concernant le fonctionnement de l’entreprise et sur la nécessité de faire attention sur les réseaux sociaux.

Instaurez des procédures strictes ! Le 2^d réflexe consiste à mettre en place des procédures de vérification et de signatures multiples pour les paiements internationaux. Il est également recommandé de mettre à jour régulièrement le système de sécurité informatique.

Faire face à une tentative d’escroquerie. Si votre collaborateur est contacté par une personne qui le presse d’effectuer un virement inhabituel, voici le conseil qu’il faut lui donner : il doit en référer immédiatement à sa hiérarchie. Au moindre doute, il est également conseillé de prendre contact avec l’interlocuteur habituel pour vérifier que l’ordre émane bien de lui.

Vous êtes victime d’escroquerie. Identifiez immédiatement les virements litigieux et si c’est possible, demandez le blocage du virement frauduleux. Dans tous les cas, déposez une plainte auprès des forces de l’ordre et constituez-vous un dossier de preuve le plus conséquent possible.

Cookies : de quoi parle-t-on ?

Qu’est-ce que sont les « cookies » ? Pour la Commission nationale de l’information et des libertés (Cnil), le terme de « cookies » couvre « l’ensemble des traceurs déposés et/ou lus, par exemple, lors de la consultation d’un site Internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile ».

Un problème ? Les « cookies » permettent donc d’analyser la navigation d’un internaute et ses habitudes afin de lui proposer des publicités ciblées ou des services personnalisés. Il s’agit là d’un traçage portant atteinte à la protection des données personnelles. C’est pourquoi la Loi encadre l’utilisation des « cookies ».

3 obligations légales. Pour que les « cookies » soient actifs sur un site Internet, il est nécessaire :

• que l’internaute soit informé de la finalité des « cookies » ;
• qu’il consente à l’activation des « cookies » ;
• que l’internaute puisse refuser l’activation des « cookies ».

Cookies : recueillir le consentement de l’internaute

Qui recueille le consentement ? Recueillir le consentement de l’internaute est une obligation pour le responsable du site Internet, pour l’éditeur de l’application mobile, pour les régies publicitaires, pour les réseaux sociaux, pour les éditeurs de solutions de mesure d’audience, etc. Il doit être en mesure de prouver qu’il a effectivement reçu le consentement de l’internaute.

Comment recueillir le consentement ? Concrètement, le consentement de l’internaute est recueilli via un bandeau qui apparaît sur son écran. Ce bandeau doit informer l’internaute :

• de la finalité précise des « cookies » ;
• de la possibilité de s’opposer à l’activation des « cookies » en modifiant les paramètres ;

Attention ! Le bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation (par exemple, en se rendant sur une autre page ou en cliquant sur un onglet du site ou sur une image).

À noter. Le bandeau contient, en général, la mention « en savoir plus » qui renvoie vers des outils d’opposition à l’activation des « cookies ».

Remarque. À défaut de standard de couleur, de design… la CNIL rappelle que l’information délivrée doit en tout état de cause « permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix ».

Durée du consentement. La durée de validité du consentement donné par un internaute est de 13 mois maximum.

Un consentement obligatoire ? Tous les « cookies » ne nécessitent pas le recueil du consentement de l’internaute. L’internaute doit être en mesure de différencier les « cookies » auxquels il peut s’opposer et ceux qui doivent être impérativement déposés et connaître les conséquences de son opposition sur son confort de navigation.

Cookies nécessitant le recueil du consentement. Voici quelques exemples de « cookies » nécessitant le recueil du consentement de l’internaute :

• les « cookies » liés aux opérations relatives à la publicité ;
• les « cookies des réseaux sociaux » générés par les boutons de partage lorsqu’ils collectent des données personnelles ;
• les « cookies » de mesures d’audience.

Cookies exemptés de consentement. Voici quelques exemples de « cookies » ne nécessitant pas le recueil du consentement de l’internaute :

• les « cookies » identifiant de session ;
• les « cookies » d’authentification ;
• certains « cookies » d’analyse de mesure d’audience, listés par la CNIL ici.

La pratique des « cookie walls ». Cette pratique consiste à conditionner l’accès à un site internet à l’acceptation d’un dépôt de traceur. Pour le moment elle ne peut être considérée comme illicite. Toutefois, cette dernière fait l’objet d’une vigilance au cas par cas en attendant que la réglementation européenne devienne plus précise à ce sujet.

Des critères à respecter. La CNIL précise les critères qui lui permettent d’évaluer la légalité de ces pratiques et les questions qu’elle est amenée à se poser dans le cadre de ses contrôles :

• l’internaute bénéficie-t-il une alternative équivalente lui permettant d’accéder au contenu, s’il refuse l’installation du ou des traceurs ? ;
• le tarif proposé pour accéder au site sans l’installation du traceur est-il raisonnable ? ;
• le traceur est-il limité aux finalités qui permettent une juste rémunération du service proposé ? ;
• lorsque l’utilisateur choisit de payer l’accès, des cookies sont-ils quand même déposés sur son ordinateur ? Si oui, ces traceurs sont-ils utiles pour accéder à un contenu hébergé sur un autre site (vidéos par exemple) et l’éditeur a-t-il récolté le consentement de l’utilisateur ?

Pour la petite histoire. La CNIL a récemment condamné un moteur de recherche pour avoir installé automatiquement des cookies sur les ordinateurs de ses utilisateurs sans obtenir leur consentement et sans les informer de l’utilisation de ces derniers. La société avait 3 mois pour régulariser la situation sinon elle devait payer une amende de 100 000 € par jour de retard.

Rappel du juge. Estimant que la CNIL n’était pas compétente pour lui donner une telle sanction, la société a demandé l’annulation de cette pénalité. Demande que le juge a rejetée en rappelant les attributions de la commission :

• informer les responsables de traitement de données de leurs droits et obligations ;
• veiller à ce que les traitements de données personnelles soient conformes à la réglementation ;
• prononcer les sanctions à l’encontre des responsables de traitements qui ne respectent pas leurs obligations ;
• prononcer une injonction de mise en conformité du traitement avec la réglementation et l’assortir d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard en cas de non-réalisation de cette obligation.

Un contrôle renforcé. Les gestionnaires de sites internet avaient jusqu’au 31 mars 2021 pour se mettre en conformité avec la réglementation sur les cookies et autres traceurs. A cette occasion, la CNIL annonce qu’après avoir privilégié une action d’accompagnement auprès des entreprises elle va désormais réaliser des contrôles pour évaluer l’application de cette réglementation et prononcera, si nécessaire, des sanctions publiques.

Cookies : 2 situations à distinguer !

2 types de situations. Dans le cadre de son activité, la Cnil est amenée à vérifier que les sites Internet respectent la réglementation relative aux « cookies ». Des contrôles qu’elle a effectués, la Cnil a identifié 2 types de situations.

Cas 1. Dans cette 1^re situation, l’éditeur du site dépose lui-même les « cookies, ou permet le dépôt de « cookies » par des tiers, afin de traiter des données uniquement pour son compte. Ici, l’éditeur est considéré comme étant responsable du respect des obligations légales relatives aux « cookies ». C’est donc lui qui doit recueillir le consentement de l’internaute. S’il accepte que des tiers déposent des « cookies », ces derniers sont considérés comme des sous-traitants. La Cnil rappelle alors que le contrat liant l’éditeur et le tiers doit préciser que le tiers ne peut pas exploiter les données recueillies pour son propre compte.

Cas 2. Dans cette 2^de situation, les données collectées par les « cookies » déposés par les tiers sont exploitées par ces derniers. Ici, c’est donc le tiers qui doit être considéré comme étant tenu par les obligations légales.

Lignes directrices de la CNIL. La Commission nationale de l’informatique et des libertés (CNIL) a publié de nouvelles lignes directrices.

Cookies : de l’importance du design

Le design des cookies. Sachez qu’il existe 3 types de bannières cookies :

• les bannières neutres ;
• les bannières « dark patterns » qui sont volontairement conçues pour tromper ou manipuler l’internaute ;
• les bannières « bright patterns » qui encouragent la réflexion de l’internaute.

Le design étudié. Le Gouvernement a mené une étude pour connaître l’influence du design des cookies sur le choix d’accepter ou non le recueil de données personnelles par le site internet visité. Cette étude montre que les internautes sont globalement réticents à partager leurs données personnelles. 

Le design influence le choix des internautes ! Pourtant, les chiffres démontrent que cette réticence ne se traduit pas dans les faits :

• 16 % des internautes refusent l’utilisation des cookies en présence d’une bannière neutre ;
• 4 % des internautes refusent l’utilisation des cookies en présence d’une bannière « dark pattern » ;
• 33 % à 46 % des internautes refusent l’utilisation des cookies en présence d’une bannière « bright pattern » (le taux de refus varien selon le design des « bright patterns »).

Cookies : de l’usage par l’écosystème publicitaire

Pour rappel, la « directive ePrivacy » garantit aux internautes la protection de leurs terminaux (ordinateurs, smartphones, etc.) contre tout accès ou stockage d’information non désiré. Cette protection s’applique notamment aux « cookies tiers », qui sont des cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même.

L’écosystème publicitaire se tourne désormais vers des méthodes alternatives aux « cookies tiers » pour le ciblage publicitaire. Cette évolution a amené le Comité européen de la protection des données (CEPD) à publier des lignes directrices.
 

Détournements de fonds : comment les empêcher de survenir ?

Ça arrive... Les détournements sont souvent le fait de personnes extérieures à l’entreprise. Qui n’a pas entendu parler de « l’arnaque au président » qui consiste, pour des escrocs, à convaincre le collaborateur d'une entreprise à effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, ou encore de la « fraude au changement de RIB » qui consiste pour les fraudeurs à envoyer un mail à un salarié du service de comptabilité de l'entreprise en se faisant passer pour un fournisseur, et lui demander de diriger ses versements vers un autre compte bancaire appartenant à des escrocs.

… aussi en interne. Mais les détournements de fonds peuvent aussi être commis par des collaborateurs de l’entreprise, notamment ceux qui sont affectés à la comptabilité de l’entreprise ou en charge de la gestion de la trésorerie.

Comment se protéger ? Le dirigeant est responsable des fonds appartenant à l’entreprise. Il doit donc se montrer particulièrement vigilant pour tout ce qui touche à la gestion de trésorerie et aux flux financiers. Il dispose à cet égard de plusieurs outils. Lesquels ?

1^re action. En premier lieu, respectez (faites respecter) le principe de la séparation ordonnateur / payeur : il est essentiel que la personne qui ordonne la dépense ne soit pas celle qui procède à son paiement.

2^e action. L’entreprise doit maîtriser la gestion des moyens de paiement pour optimiser sa sécurité financière. L’accès à ces moyens de paiement (coordonnées bancaires, accès au chéquier, etc.) doit donc être réservé à un nombre restreint de personnes et conservé en lieu sûr.

3^e action. Il faut mettre en place des circuits courts d’ordonnancement de la dépense (validée par le dirigeant ou un responsable qui aura obtenu une délégation à ce titre) et de son paiement : plus les process sont démultipliés, plus les risques de détournements de fonds sont aussi démultipliés. Il y a notamment un risque que chaque échelon se déresponsabilise en pensant que les vérifications nécessaires seront effectuées par l’échelon inférieur ou supérieur.

Détournements de fonds : comment réagir ?

Il faut réagir rapidement ! Si malgré les protections mises en place, l’entreprise est victime de détournements de fonds, le dirigeant doit réagir très rapidement car les délais sont strictement encadrés, que ce soit pour un dépôt de plainte ou pour sanctionner lui-même un comportement fautif d’un salarié, ou plus exactement pour engager des poursuites disciplinaires (à cette fin, il ne dispose que d’un délai de 2 mois à partir du moment où il a eu connaissance des faits fautifs).

Que le détournement soit interne ou externe… La 1^re chose à faire est de porter plainte auprès des forces de l’ordre et de faire appel à ses conseils spécialisés en droit pénal des affaires et en droit social.

En cas de détournement interne… Le dirigeant va constituer, avec l’aide de ses conseils, un dossier complet et étayé contre le collaborateur fautif : description précise de la situation et des faits, attestations éventuelles de témoins, dossier du salarié reprenant son parcours et sa situation dans l’entreprise (ancienneté, fonctions occupées, dossier disciplinaire, etc.) qui pourront constituer des circonstances aggravantes de la faute commise, etc.

Attention ! Le dossier doit être construit rapidement et discrètement : si le collaborateur fautif venait à apprendre qu’une enquête était menée contre lui, il pourrait, en effet, faire disparaître les preuves existantes.

Neutraliser les actions malveillantes. Une fois que le dossier est suffisamment étayé de pièces justificatives, il faut mettre à pied le salarié pour éviter qu’il ne poursuive ces agissements. Mais il faut ici faire attention : il doit s’agir d’une mise à pied conservatoire (mesure provisoire préalable au licenciement), et dont l’objectif est d’écarter immédiatement le salarié de l’entreprise jusqu’à la fin de la procédure, et non d’une mise à pied disciplinaire, qui constitue, en tant que telle, une sanction.

À noter. Si vous recourez à la mise à pied disciplinaire, vous ne pourriez plus envisager contre le salarié fautif un licenciement puisqu’une même faute ne peut pas être sanctionnée deux fois.

Licencier le salarié ? Avant tout, il faut rappeler qu’il est important pour le chef d’entreprise de qualifier correctement la faute commise par le collaborateur. Pour mémoire, il existe différents types de faute : la faute légère, la faute sérieuse, la faute grave et la faute lourde.

Quelle faute retenir ? En présence d’un détournement de fonds, la tendance sera de retenir une faute lourde contre le salarié, privative de toute indemnité de rupture (à l’exception de l’indemnité de congés payés qui reste due) et permettant d’obtenir, de la part du salarié, une indemnisation du préjudice subi par l’entreprise. Mais une faute lourde suppose de la part du salarié une réelle intention de nuire à l’entreprise ou à son dirigeant. Or, c’est rarement reconnu comme tel par les juges dans le cas d’un détournement de fonds.

Exemple de faute lourde reconnue. Un salarié a été licencié pour faute lourde suite aux détournements de fonds de l’entreprise. Il occupait un poste de directeur administratif et financier. Il a, notamment, édité de fausses factures et dissimulé des documents pour masquer ses actes (démarches qui caractérisaient, ici, sa volonté de nuire à l’entreprise). L’employeur avait alors appris l’existence de ces détournements à la suite d’un contrôle Urssaf. Le juge a, ici, validé la faute lourde.

Conseil. Retenir une faute lourde, sans apporter la preuve de cette intention de nuire, rendrait le licenciement sans cause réelle et sérieuse. Voilà pourquoi il est souvent préconisé de retenir la faute grave en pareille situation. Mais, comme toujours, cela dépendra des circonstances de l’espèce. Voilà pourquoi il est essentiel de faire appel à son conseil pour que la procédure disciplinaire diligentée à l’encontre d’un salarié coupable de détournement de fonds soit pleinement efficace.

Réclamer des indemnités à la banque ? Il peut être possible de réclamer des indemnités à une banque lorsque les celle-ci a failli dans ses procédures de contrôle. Néanmoins, il faut aussi que la société n’ait pas commis de faute de son côté…

Exemple. Une salariée a falsifié 330 chèques en 5 ans, pour un montant de 20 000 €/an. Pour le juge, la banque n’a commis aucune faute puisque la salariée imitait la signature de son dirigeant et que la société n’avait mis en place aucun contrôle de l’activité de sa salariée.