Actualités

AI Act : la première réglementation mondiale sur l’IA a été votée

13 mars 2024 |  Droit des nouvelles technologies

Les eurodéputés ont adopté aujourd’hui à une large majorité un texte historique sur l’intelligence artificielle, un règlement qui avait fait l’objet d’un lobbying intense de la part des grandes entreprises du secteur au cours des dernières années.

523 eurodéputés ont voté en faveur du texte, 46 eurodéputés seulement s’y étant opposés et 49 s’étant abstenus.

Présenté en 2021 par la Commission, le texte constituera la première législation au monde visant à règlementer l’IA.

Le règlement doit encore être peaufiné — ce qui devrait être terminé d’ici la fin de la législature — et il doit également encore recevoir le feu vert du Conseil.

Ce règlement prévoit une approche à deux niveaux de la règlementation en fonction du degré de risques que présentent les applications de la technologie et fixe des délais différents pour la mise en œuvre des diverses exigences.

Les modèles d’IA à usage général devront respecter des obligations de transparence ainsi que les règles européennes en matière de droits d’auteur.

Quant aux systèmes considérés à « haut risque » utilisés par exemple dans les infrastructures critiques ou pour le maintien de l’ordre, ils seront soumis à des exigences plus strictes. Ils devront par exemple prévoir la mise en place d’une analyse d’impact obligatoire sur les droits fondamentaux.

Certaines utilisations de l’IA, telles que le système de notation sociale basé sur des algorithmes ou l’identification biométrique à distance des personnes dans les lieux publics, seront interdites d’ici à la fin de l’année 2024.

Sur ce dernier point, les États ont toutefois obtenu des exemptions pour certaines missions des forces de l’ordre comme la prévention d’une menace terroriste ou la recherche ciblée de victimes.

En outre, les images, textes ou vidéos générés artificiellement (les « deep fakes ») devront être clairement identifiés comme tels.

La législation européenne sera dotée de moyens de surveillance et d’un mécanisme de sanctions.

Selon le calendrier actuel, la mise en œuvre complète de la législation est prévue pour 2026.

Prononcé de quinze nouvelles sanctions dans le cadre de la procédure simplifiée de la CNIL depuis janvier 2024

12 mars 2024  |  Droit des nouvelles technologies

Depuis ce début d’année, la CNIL a prononcé pas moins de quinze sanctions via sa procédure simplifiée pour un montant total de 98 500 euros. Cette procédure se caractérise par le fait de viser des petites entreprises et/ou des non-conformités « simples à identifier ». Elle permet ainsi à la CNIL d’agir rapidement en prononçant des mesures pour des dossiers qui ne présentent pas de difficulté particulière.

Les principaux manquements retenus sont les suivants :

  • Manquement relatif aux missions et ressources du délégué à la protection des données: Un organisme avait désigné un DPO, mais en pratique celui-ci n’était pas associé aux réunions concernant la protection des données et la sécurité des systèmes d’information, ses coordonnées et missions n’avaient fait l’objet d’aucune communication auprès des employés et ce DPO n’avait pas accès à la messagerie « RGPD » du site internet. En raison de tous ces éléments, la CNIL a considéré que ce DPO n’était pas en mesure d’accomplir correctement ses missions ;

  • Défaut de coopération avec la CNIL;

  • Défaut de sécurité des données (utilisation du protocole TLS et suites cryptographiques) : Des amendes ont été prononcées par la CNIL à l’égard d’organismes qui continuaient d’utiliser :
  • Le protocole TLS 1.0 ou 1.1 alors que ces deux versions sont à proscrire selon le guide relatif au protocole TLS de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) ;
  • La fonction de hachage SHA-1 qui n’est plus considérée comme sûre, dès lors qu’elle ne permet pas de garantir l’intégrité et la confidentialité des données lors de leur transmission entre le serveur et le navigateur de l’utilisateur.

  • Non-respect des droits des personnes (exercice des droits d’effacement et d’opposition et du droit d’accès à un dossier médical) ;

  • Manquement à l’information en matière de prospection politique: L’information prévue par les articles 12, 13 et 14 du RGPD et qui doit figurer sur les différents sites de communication politique édités par une association n’était pas transparente en l’espèce. En effet, celle-ci était soit incomplète, soit absente dans la plupart des cas. De plus, les opérations de prospection commerciale réalisées par l’association ne contenaient pas systématiquement l’information relative à l’exercice des droits des personnes ;

  • Manquement aux obligations du sous-traitant.

En prononçant autant de sanctions en ce début d’année, la CNIL entend bien avoir, de plus en plus, recours à cette procédure simplifiée.

En guise de comparaison, « seules » 24 décisions de ce type avaient été prononcées par la CNIL en 2023.

RGPD : impossibilité pour un prestataire de santé de produire des données personnelles de patients pour obtenir une mesure d’instruction civile

03 mars 2024 |  Droit des nouvelles technologies

Un prestataire de santé (la société iDS) soupçonnant un concurrent direct (la société Diabsanté) d’avoir détourné sa patientèle, avait produit en justice une liste de patients afin d’obtenir une mesure d’instruction.

Le concurrent visé contestait la licéité de cette mesure d’instruction, considérant que l’utilisation sans leur consentement des données personnelles des patients violait le RGPD.

En revanche, la production de la liste était indispensable au succès de la mesure d’instruction, qui en outre été circonscrite à la recherche d’informations portant sur la prétendue concurrence déloyale.

Plus précisément, la société IDS prétend avoir collecté les données de l’ensemble de ses patients dans le respect des conditions de sa politique de confidentialité qui prévoit que, de façon générale, les demandes de renseignements sur ses patients ne peuvent être satisfaites que pour des autorités publiques qui disposent dans le cadre de l’exercice de leur mission, de prérogatives particulières pour se voir communiquer des informations.

Ce n’est pas l’analyse de la cour nîmoise pour qui « (elle) n’a pas informé, de manière transparente, ses patients que les informations personnelles collectées pourraient être transmises à l’autorité judiciaire et surtout à son concurrent, la société Diabsanté. Les patients concernés n’ont pas donné leur consentement éclairé à l’utilisation de ces données en vue spécifiquement d’une action en justice intentée par la société IDS à l’encontre de son concurrent ».

Un fichier clients peut-il faire l’objet d’une vente judiciaire forcée dans le cadre d’une procédure civile d’exécution ?

22 février 2024  |  Droit des nouvelles technologies

C’est la question actuellement posée à la Cour de Justice de l’UE, dans un procès opposant le Gouvernement polonais à une société polonaise.

Dans ses conclusions du 22 février 2024, l’avocat général de la Cour de justice de l’Union européenne estime qu’une base de données contenant des données à caractère personnel peut être vendue dans le cadre d’une procédure d’exécution forcée, même sans le consentement des personnes concernées.

L’avocat général considère que les actions de l’huissier, telles que l’extraction et l’utilisation des données pour évaluer les bases, constituent un traitement de données personnelles. En tant qu’autorité publique exécutant la procédure, l’huissier est vu comme le responsable de ce traitement. Malgré l’absence de consentement des utilisateurs pour partager leurs données en dehors de la plateforme, ce traitement est jugé légitime, car il est nécessaire à l’accomplissement d’une mission d’autorité publique.

Pour que la revente de ces bases de données soit conforme au Règlement Général sur la Protection des Données (RGPD), l’avocat général souligne qu’elle doit être considérée comme une mesure nécessaire et proportionnée, justifiée par la finalité de l’exécution d’une créance civile. Selon l’avocat général, l’impact sur le droit à la protection des données personnelles des utilisateurs est proportionné au droit de propriété de la société créancière, faisant ainsi de la vente forcée une option viable dans le cadre de l’exécution forcée.

Droit à l’image d’un mineur : la loi sur l’autorité parentale se renforce

20 février 2024 |  Droit des nouvelles technologies

La loi n°2024-120 du 19 février 2024 fait suite à des constatations alarmantes sur l’exposition croissante des mineurs sur internet, en particulier à travers la diffusion de leurs images sur les réseaux sociaux par les parents, les tiers, ou les mineurs eux-mêmes.

Elle modifie l’article 371-1 du Code civil, dédié aux charges pesant sur les titulaires de l’autorité parentale, pour y inclure explicitement la protection de la vie privée, de la sécurité, de la santé, et de la moralité de l’enfant comme objectif de l’autorité parentale.

Cette modification souligne l’importance de l’intérêt de l’enfant et de son droit au respect de sa personne dans l’exercice de l’autorité parentale, notamment en ce qui concerne la publication de son image sur les réseaux sociaux. Le texte législatif introduit une distinction entre les actes usuels, pour lesquels l’accord d’un seul parent suffit, et les actes non usuels liés à l’image de l’enfant qui nécessitent l’accord des deux parents, conformément à la jurisprudence existante.

A ce titre, l’article 372-1 du Code civil est également amendé pour affirmer que les parents doivent désormais protéger conjointement le droit à l’image de leur enfant mineur. Cette disposition vise à prévenir les utilisations abusives de l’image des mineurs susceptibles de porter atteinte à leur dignité ou intégrité morale, notamment dans des contextes pédopornographiques.

Pour garantir cette protection, la loi institue désormais un contrôle judiciaire permettant d’interdire à un parent de diffuser toute image de l’enfant sans l’accord de l’autre. Cette mesure peut être sollicitée en cas de désaccord parental sur l’utilisation de l’image de l’enfant, soulignant ainsi l’importance de l’accord mutuel dans la protection de l’image des mineurs.

La loi introduit également un mécanisme de délégation de l’exercice de l’autorité parentale en cas de diffusion d’images portant gravement atteinte à la dignité ou à l’intégrité morale de l’enfant. Cette mesure extrême peut être demandée par divers acteurs, y compris des membres de la famille ou des institutions s’occupant de l’enfant, soulignant la gravité des situations qu’elle vise à adresser.

Note à l’attention de nos nombreux clients dans le secteur de l’éducation ou de la protection de l’enfance : il convient dès à présent d’adapter vos process et de prévoir un accord systématiquement conjoint des parents concernant le droit à l’image des enfants.

Prononcé d’une saction de 310 000 € d’amende à l’encontre de FORIOU

31 janvier 2024  |  Droit des nouvelles technologies

FORIOU est une société de prospection commerciale qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés par FORIOU sont achetées par la société auprès de courtiers en données.

Lors de contrôles effectués par la CNIL, il a été considéré qu’aucun consentement valide des personnes concernées n’était recueilli en raison de l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte.

Par conséquent, la société FORIOU ne disposait d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, violant ainsi les dispositions de l’article 6 du RGPD.

Cette affaire est à rapprocher de celle évoquée Supra s’agissant de TAGADAMEDIA dès lors que la société FORIOU achète des données de prospects auprès de courtiers en données, tels que TAGADAMEDIA. Or, comme présenté Supra, la plupart de ces formulaires ne permettent pas de recueillir un consentement libre et univoque et ne contiennent pas une information suffisante à l’égard des utilisateurs. La collecte de données étant effectuée par ces courtiers via des formulaires, il appartient néanmoins à la société FORIOU, en tant qu’utilisatrice des données recueillies, de s’assurer que les personnes concernées ont exprimé un consentement valide.

La formation restreinte de la CNIL a ainsi relevé que malgré certaines exigences contractuelles imposées par la société à ses fournisseurs en amont, aucun contrôle effectif de ces exigences n’était effectué en aval. De plus, la société FORIOU n’était pas systématiquement mentionnée dans la liste des partenaires susceptibles de démarcher les personnes concernées figurant dans les formulaires de jeux-concours.

La CNIL a ainsi prononcé une amende de 310 000 euros à l’encontre de la société FORIOU. Cette amende représente environ 1% du chiffre d’affaires de la société, en raison notamment de la gravité du manquement retenu et de la responsabilité endossée par l’organisme utilisant les données collectées.

Durées de conservation et sécurité des données : la CNIL prononce une amende de 100 000 euros à l’encontre de la société PAP

31 janvier 2024 |  Droit des nouvelles technologies

En mars et avril 2022, deux contrôles de la société PAP ont été réalisés par la CNIL. Cette dernière a ainsi relevé plusieurs manquements au RGPD.

Parmi les manquements sanctionnés, il y a :

  • Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, alors qu’elle conservait les données plus longtemps. S’agissant des données des utilisateurs ayant recours à des prestations payantes du site, une durée de dix ans avait été définie, sans que cette durée ne puisse être justifiée par les dispositions du code de la consommation dont la société se prévalait.
  • Un manquement à l’obligation d’information des personnes (article 13) : La société informait les personnes sur son site web au moyen d’une politique de confidentialité incomplète et imprécise.
  • Un manquement à l’obligation d’encadrer, par un acte juridique, les traitements effectués pour le compte du responsable de traitement (article 28) : Un contrat conclu entre la société PAP et un sous-traitant ne comportait pas les mentions requises par le RGPD.
  • Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Les règles de complexité des mots de passe des comptes utilisateurs du site étaient insuffisamment robustes. De plus, la sécurité des données n’était pas garantie dès lors que les mots de passe des utilisateurs et les références confidentielles étaient conservés en clair. Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.

La formation restreinte de la CNIL a ainsi prononcé, dans le cadre du guichet unique et en coopération avec les autorités de contrôle européennes concernées (Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et Norvège), une amende de 100 000 euros au regard des manquements au RGPD énoncés Supra.

La CNIL sanctionne AMAZON FRANCE LOGITIQUE d’une amende de 32 millions d’euros

23 janvier 2024  |  Droit des nouvelles technologies

La société AMAZON FRANCE LOGISTIQUE gère les entrepôts de grande taille du groupe AMAZON en France, dans lesquels elle reçoit et stocke les articles, puis prépare les colis à livrer aux clients. Chaque salarié des entrepôts est muni d’un scanner afin de documenter en temps réel l’exécution des tâches qui lui sont assignées.

La CNIL a procédé à plusieurs missions de contrôles à la suite d’articles de presse visant certaines pratiques mises en œuvre par la société dans ses entrepôts, ainsi qu’à la réception de plusieurs plaintes de salariés.

Ces missions ont abouti au constat que le système de suivi de l’activité et des performances des salariés était excessif, notamment par rapport aux motifs suivants :

  • Des indicateurs mesurant les temps d’inactivité des scanners des salariés étaient mis en place: La CNIL a jugé illégale la mise en place d’un système mesurant aussi précisément les interruptions d’activité et conduisant le salarié à devoir potentiellement justifier de chaque pause ou interruption.
  • La CNIL a, en outre, jugé que le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles était excessif: En effet, partant du principe que des articles scannés très vite augmentaient le risque d’erreur, un indicateur mesurait si un objet avait été scanné en moins de 1,25 seconde après le précédent.
  • De façon plus générale, la CNIL a estimé excessif de conserver toutes les données recueillies par le dispositif, ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires, en les conservant durant 31 jours.

Plusieurs manquements au RGPD ont ainsi été sanctionnés :

  1. Par rapport à l’activité des salariés à l’aide des scanners :
  • Manquement au principe de minimisation des données (article 5.1.c) : La société réalisait un suivi trop intrusif de l’activité et des performances des salariés via la collecte des données de leur scanner ;
  • Manquement à la licéité du traitement (article 6) : Trois indicateurs traités par la société étaient illégaux;
  • Manquement à l’obligation d’information et de transparence (articles 12 et 13) : Les intérimaires travaillant pour la société n’étaient pas correctement informés puisque la société ne s’assurait pas que la politique de confidentialité leur avait été remise avant la collecte de leurs données via leur scanner.

 

  1. Manquements liés aux traitements de vidéosurveillance :

 

  • Manquement à l’obligation d’information et de transparence(articles 12 et 13) : Les salariés et les visiteurs extérieurs n’étaient pas correctement informés des systèmes de vidéosurveillance ;
  • Manquement à l’obligation de sécurité (article 32) : L’accès au logiciel de vidéosurveillance n’était pas suffisamment sécurisé dès lors que le mot de passe d’accès n’était pas suffisamment robuste et que le compte d’accès était partagé entre plusieurs utilisateurs.

Par conséquent, la formation restreinte de la CNIL a prononcé une amende de 32 millions d’euros à l’encontre d’AMAZON FRANCE LOGISTIQUE.

Durées de conservation et sécurité des données : la CNIL prononce une amende de 100 000 euros à l’encontre de la société PAP

31 janvier 2024 |  Droit des nouvelles technologies

En mars et avril 2022, deux contrôles de la société PAP ont été réalisés par la CNIL. Cette dernière a ainsi relevé plusieurs manquements au RGPD.

Parmi les manquements sanctionnés, il y a :

  • Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, alors qu’elle conservait les données plus longtemps. S’agissant des données des utilisateurs ayant recours à des prestations payantes du site, une durée de dix ans avait été définie, sans que cette durée ne puisse être justifiée par les dispositions du code de la consommation dont la société se prévalait.
  • Un manquement à l’obligation d’information des personnes (article 13) : La société informait les personnes sur son site web au moyen d’une politique de confidentialité incomplète et imprécise.
  • Un manquement à l’obligation d’encadrer, par un acte juridique, les traitements effectués pour le compte du responsable de traitement (article 28) : Un contrat conclu entre la société PAP et un sous-traitant ne comportait pas les mentions requises par le RGPD.
  • Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Les règles de complexité des mots de passe des comptes utilisateurs du site étaient insuffisamment robustes. De plus, la sécurité des données n’était pas garantie dès lors que les mots de passe des utilisateurs et les références confidentielles étaient conservés en clair. Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.

La formation restreinte de la CNIL a ainsi prononcé, dans le cadre du guichet unique et en coopération avec les autorités de contrôle européennes concernées (Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et Norvège), une amende de 100 000 euros au regard des manquements au RGPD énoncés Supra.

La CNIL sanctionne AMAZON FRANCE LOGITIQUE d’une amende de 32 millions d’euros

23 janvier 2024  |  Droit des nouvelles technologies

La société AMAZON FRANCE LOGISTIQUE gère les entrepôts de grande taille du groupe AMAZON en France, dans lesquels elle reçoit et stocke les articles, puis prépare les colis à livrer aux clients. Chaque salarié des entrepôts est muni d’un scanner afin de documenter en temps réel l’exécution des tâches qui lui sont assignées.

La CNIL a procédé à plusieurs missions de contrôles à la suite d’articles de presse visant certaines pratiques mises en œuvre par la société dans ses entrepôts, ainsi qu’à la réception de plusieurs plaintes de salariés.

Ces missions ont abouti au constat que le système de suivi de l’activité et des performances des salariés était excessif, notamment par rapport aux motifs suivants :

  • Des indicateurs mesurant les temps d’inactivité des scanners des salariés étaient mis en place: La CNIL a jugé illégale la mise en place d’un système mesurant aussi précisément les interruptions d’activité et conduisant le salarié à devoir potentiellement justifier de chaque pause ou interruption.
  • La CNIL a, en outre, jugé que le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles était excessif: En effet, partant du principe que des articles scannés très vite augmentaient le risque d’erreur, un indicateur mesurait si un objet avait été scanné en moins de 1,25 seconde après le précédent.
  • De façon plus générale, la CNIL a estimé excessif de conserver toutes les données recueillies par le dispositif, ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires, en les conservant durant 31 jours.

Plusieurs manquements au RGPD ont ainsi été sanctionnés :

  1. Par rapport à l’activité des salariés à l’aide des scanners :
  • Manquement au principe de minimisation des données (article 5.1.c) : La société réalisait un suivi trop intrusif de l’activité et des performances des salariés via la collecte des données de leur scanner ;
  • Manquement à la licéité du traitement (article 6) : Trois indicateurs traités par la société étaient illégaux;
  • Manquement à l’obligation d’information et de transparence (articles 12 et 13) : Les intérimaires travaillant pour la société n’étaient pas correctement informés puisque la société ne s’assurait pas que la politique de confidentialité leur avait été remise avant la collecte de leurs données via leur scanner.

 

  1. Manquements liés aux traitements de vidéosurveillance :

 

  • Manquement à l’obligation d’information et de transparence(articles 12 et 13) : Les salariés et les visiteurs extérieurs n’étaient pas correctement informés des systèmes de vidéosurveillance ;
  • Manquement à l’obligation de sécurité (article 32) : L’accès au logiciel de vidéosurveillance n’était pas suffisamment sécurisé dès lors que le mot de passe d’accès n’était pas suffisamment robuste et que le compte d’accès était partagé entre plusieurs utilisateurs.

Par conséquent, la formation restreinte de la CNIL a prononcé une amende de 32 millions d’euros à l’encontre d’AMAZON FRANCE LOGISTIQUE.

Migration d’un site web e-commerce pour un coût modique : le client responsable de l’échec

03 janvier 2024 |  Droit des nouvelles technologies

Une société (CBM) avait confié à un prestataire (Yatéo) la migration d’un site d’e-commerce mutualisé vers un site dédié ainsi que son référencement payant.

A la recette de la prestation, il est constaté :

  • L’absence d’amélioration des performances du site (les lenteurs sont toujours là) ;
  • Une détérioration du référencement naturel, qui résulte de l’endommagement du module e-commerce.

Le tribunal de commerce de Paris a conclu que la lenteur du système n’était pas imputable à Yatéo dont le contrat d’un faible montant ne couvrait pas cet aspect et qui avait proposé à son client, avant la prestation mais sans convaincre ledit client, un « audit de lenteur du front ».

Concernant l’endommagement du module et la détérioration du référencement, le Tribunal a estimé que ces dysfonctionnements n’étaient pas davantage imputables au prestataire dans la mesure où il n’avait pas été investi d’une mission portant sur le référencement naturel. De plus le client avait refusé la proposition d’assistance du prestataire sur ce point.

Aussi, pour le tribunal, le prestataire a respecté ses engagements et n’a pas manqué à son obligation d’information et de conseil.

Plus précisément, concernant la lenteur du système, le tribunal relève :

  • premièrement que le contrat, qui est la loi des parties et doit être exécuté de bonne foi, couvre un champ très réduit de prestations, et en tout cas pas cet aspect, ce dont atteste le montant faible (6 550 € HT) du budget ;
  • deuxièmement, que ce problème avait été certainement évoqué entre CBM et Yateo, puisque comme indiqué plus haut, Yateo avait proposé sans succès une prestation « audit de lenteur du front», la proposition mentionnant notamment « vous avez constaté des lenteurs au niveau du front. En conséquence, Yateo sera en charge de mener un audit technique du site afin de détecter la provenance des lenteurs sur le front end».

Cet audit, qui donc n’a pas été effectué, était composé d’une vérification des modules, et de la conformité du code, ainsi que d’une optimisation du code et/ou des modules ».

Il en résulte que la lenteur persistante du système ne peut pas être imputée à Yateo.

Concernant l’endommagement du module, et la perte de données ayant entraîné une détérioration du référencement naturel de CBM, le tribunal a recherché l’existence d’un lien de causalité entre cet endommagement du module, et les problèmes rencontrés. « Or, (il ) n’a pas été informé des conditions dans lesquelles ce module fonctionnait et était maintenu. De plus, il a été précisé que CBM avait mandaté une société « i-communication » pour faire un audit technique ».

A le suivre, « Yateo n’était pas investie d’une quelconque mission en ce qui concerne le référencement SEO, et CBM ayant refusé une proposition d’assistance formulée par Yateo à cet égard, ne peut valablement reprocher à cette dernière de ne pas avoir respecté ses engagements, ni d’avoir manqué à son obligation d’information et de conseil ».

Il en conclut que « Yateo ne peut être tenue pour responsable ni de l’endommagement du module, ni des conséquences en résultant sur le référencement naturel de CBM ».

Le tribunal rejette donc les demandes de la société CBM qui est condamnée à payer la somme de 5 000 € au titre de l’article 700 du CPC à la société YATEO.

Prononcé de six nouvelles sanctions dans le cadre de la procédure simplifiée de la CNIL pour un montant de 44 000 euros

03 janvier 2024  |  Droit des nouvelles technologies

Entre novembre et décembre 2023, la CNIL a eu l’occasion de prononcer six nouvelles sanctions dans le cadre de sa procédure simplifiée pour un montant total de 44 000 euros.

Les principaux manquements retenus sont les suivants :

  • Défaut de coopération avec la CNIL: Ce manque de coopération peut être caractérisé par le fait de ne pas fournir les pièces que la CNIL vous demande, de ne pas répondre aux courriers de la commission, de ne pas donner un accès efficace à la CNIL lorsqu’elle effectue un contrôle. En clair, même en l’absence de conformité, il vaut mieux coopérer ! ;

  • Collecte excessive de données d’un candidat à l’embauche: Une société collectait les lieux, pays de naissance et numéros de sécurité sociale des candidats à l’embauche. Or, la collecte de ces données ne présentait aucun lien direct et nécessaire avec l’emploi proposé (à savoir un emploi de figurant ou d’hôte pour des évènements télévisés), ni avec l’évaluation des aptitudes professionnelles. De ce fait, la CNIL a considéré qu’il y avait un manquement à l’article 5.1.b du RGPD, c’est-à-dire au principe de collecte des données pour des finalités déterminées, explicites et légitimes ;

 

  • Non-respect des droits des personnes: En juin 2022, un candidat aux élections législatives avait adressé à une personne des courriers électroniques de prospection politique. Cette dernière s’est opposée, en vain, à la réception de ces messages auprès du candidat. La CNIL a ainsi prononcé une amende à l’encontre de ce candidat qui n’avait pas apporté de réponse à la personne concernée par les courriels et qui ne l’avait pas informé des mesures prises à la suite de sa demande d’opposition ;

 

  • Non-respect du droit d’accès au dossier médical: Selon l’article 64 de la loi Informatique et Liberté, les professionnels de santé doivent faire droit aux demandes de communication des données de santé qu’ils reçoivent. La non-communication de dossier porte ainsi atteinte aux droits des personnes et peut notamment nuire à la prise en charge médicale de la personne ;

 

  • Défaut de sécurité des données: Une commune n’avait pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données personnelles sensibles de ses administrés. En effet, les mesures mises en œuvre par la commune ne respectaient pas les précautions minimales en matière de robustage et de stockage des mots de passe. La CNIL a ainsi prononcé une sanction à l’égard de cette commune, qui se doit de faire preuve d’exemplarité en matière de sécurité des données.

Apparence trompeuse de formulaires de jeux concours : sanction de 75 000 euros à l’encontre du courtier en données TAGADAMEDIA

29 décembre 2023 |  Droit des nouvelles technologies

En 2022, la CNIL avait placé la prospection commerciale comme thématique particulière de contrôle. La commission s’est ainsi intéressée aux professionnels du secteur, et notamment à ceux qui procèdent à la revente de données, comprenant ainsi les courtiers en données (data brokers en anglais).

Une procédure de contrôle a ainsi été engagée à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

La formation restreinte de la CNIL a ainsi relevé que la société avait manqué à plusieurs obligations prévues par le RGPD, à savoir :

  • Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre (article 6) : TAGADAMEDIA collecte des données de prospects par le biais de formulaires mis en œuvre sur ses sites de participation à des jeux-concours ou de tests de produits. Les données sont ensuite transmises à ses partenaires pour de la prospection commerciale. Selon la société, le traitement est fondé sur le recueil du consentement. Or, les formulaires utilisés ne permettaient pas de recueillir un consentement libre, éclairé et univoque dès lors que la mise en valeur du bouton permettant de donner son consentement et le texte incomplet et en taille réduite incitaient fortement les utilisateurs à accepter la transmission de leurs données aux partenaires de la société.
  • Un manquement à l’obligation de mettre en œuvre un registre des activités de traitement (article 30) : La CNIL a pu observer que le registre des activités de traitement de TAGADAMEDIA (qui était partagé avec une seconde société) ne précisait pas laquelle des deux sociétés agissait en qualité de responsable de traitement.

En raison de ces différents manquements, la CNIL a prononcé une amende de 75 000 euros, le 29 décembre dernier, à l’encontre de la société. Cette dernière a également été enjoint de mettre en œuvre un formulaire de collecte conforme aux exigences du RGPD dans un délai d’un mois à compter de la prononciation de la sanction, sous peine de 1000 euros par jour de retard.

La société YAHOO EMEA LIMITED écope d’une amende de 10 millions d’euros pour manquements en matière de cookies

29 décembre 2023  |  Droit des nouvelles technologies

Entre juin 2019 et octobre 2020, 27 plaintes dénonçant la non-prise en compte du refus des cookies et les obstacles rencontrés pour retirer le consentement au dépôt de cookies, ont été déposées auprès de la CNIL.

En réponse à ces plaintes, la CNIL a effectué plusieurs contrôles en ligne sur le site web « Yahoo.com », ainsi que sur la messagerie électronique « Yahoo! Mail », entre octobre 2020 et juin 2021.

A la suite de ces contrôles, la formation restreinte de la CNIL a considéré que la société YAHOO EMEA LIMITED avait manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.

Parmi les manquements sanctionnés, on retrouve :

  • Le dépôt de cookies sans l’accord de l’internaute : Lorsqu’un internaute se rendait sur le site « Yahoo.com », le bandeau cookies affiché donnait accès à une page composée de nombreux boutons destinés à recueillir le consentement au dépôt de cookies. Or, la CNIL a relevé que, malgré l’absence de tout consentement exprimé, une vingtaine de cookies poursuivant des finalités publicitaires étaient tout de même déposés sur le terminal de l’internaute. Pour rappel, les cookies à vocation publicitaire ne peuvent être déposés que lorsqu’un consentement a été donné explicitement par l’internaute.

  • Une incitation à ne pas retirer son consentement : La CNIL a, en outre, relevé que lorsqu’un utilisateur de la messagerie « Yahoo! Mail » souhaitait retirer le consentement qu’il avait donné au dépôt de cookies, la société l’informait que son action aurait pour conséquences qu’il ne pourrait plus accéder aux services proposés par la société et qu’il perdrait l’accès à sa messagerie. Or, cette pratique n’est pas légale dès lors qu’elle ne permet pas aux utilisateurs de pouvoir retirer librement leur consentement.

Face à ces manquements, la CNIL a prononcé une amende de 10 millions d’euros à l’encontre de la société YAHOO EMEA LIMITED.

105 000 euros d’amende prononcé par la CNIL à l’encontre de NS CARDS FRANCE

27 décembre 2023 |  Droit des nouvelles technologies

A la suite de deux contrôles de la société réalisés fin 2021, la CNIL a constaté des manquements au RGPD et à la Loi Informatique et Liberté.

La formation restreinte de la CNIL a ainsi prononcé le 23 décembre 2023, deux amendes à l’encontre de la société NS CARDS France :

  • L’une, d’un montant de 90 000 euros, pour des manquements au RGPD. Cette amende a été prononcée en coopération avec 17 homologues européens de la CNIL dans le cadre du guichet unique, puisque le site web a des visiteurs dans plusieurs Etats d’Europe ;

  • L’autre, d’un montant de 15 000 euros, pour un manquement relatif à l’utilisation des cookies et traceurs. Cette amende a été prononcée par la CNIL uniquement.

S’agissant plus précisément des manquements sanctionnés :

  1. S’agissant des manquements au RGPD:

La CNIL a retenu en tout trois manquements, à savoir :

  • Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de dix ans à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés. Les données des comptes étaient donc conservées pour une durée indéterminée.
  • Un manquement à l’obligation d’informer les personnes (articles 12 et 13) : NS CARDS FRANCE informait les personnes via une politique de confidentialité incomplète et obsolète. En outre, l’information était fournie en anglais, alors que le public visé par la société est majoritairement francophone.
  • Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Ici les règles de complexité des mots de passe des comptes utilisateurs étaient insuffisamment robustes. De plus, près de 50 000 mots de passe étaient conservés en clair dans la base de données de la société et associés à l’adresse électronique et l’identifiant des utilisateurs. Enfin, s’agissant des mots de passe qui étaient stockés sous une forme hachée et salée, la fonction de hachage utilisée était obsolète (SHA-1).

  1. S’agissant des manquements à la loi Informatique et Liberté (notamment à l’article 82) :

La CNIL a constaté le dépôt de cookies Google Analytics sur le terminal de l’utilisateur sans son accord. Or, dans la mesure où ces cookies peuvent comporter des fonctionnalités publicitaires et qu’ils permettent, en tout état de cause, de collecter des données pouvant être utilisées pour maintenir et protéger le service Analytics, ils ne peuvent être déposés sur le terminal de l’utilisateur sans son accord.

En outre, la société avait recours à un mécanisme de reCAPTCHA, fourni par la société GOOGLE, lors de la création du compte et lors de la connexion sur le site web et l’application mobile. Ce mécanisme fonctionne avec une collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications). Alors que les données collectées étaient transmises à GOOGLE pour analyse, la société ne fournissait aucune information à l’utilisateur et ne recueillait pas son accord préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

PayPal contrainte à la mise en conformité par l’Union Européenne

21 décembre 2023  |  Droit des nouvelles technologies

PayPal a accepté de mettre en œuvre un certain nombre de modifications et de clarifications de plusieurs clauses de ses conditions d’utilisation destinées aux consommateurs.

Paypal va notamment préciser que les consommateurs ne sont pas responsables des dommages qui ne sont pas causés par leur faute ou qui n’étaient pas prévisibles et supprimer les dispositions imposant aux consommateurs l’obligation de vérifier eux-mêmes les informations.

Commission UE, communiqué, 20 déc. 2023 : https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6587

AI Act : le Parlement de l’UE et le Conseil de l’UE parviennent à un accord sur le règlement IA

09 décembre 2023 |  Droit des nouvelles technologies

Le 9 décembre 2023, après d’intenses négociations, un accord provisoire a été atteint sur la législation européenne relative à l’intelligence artificielle (IA), mettant l’accent sur la régulation des systèmes d’IA à haut risque. Cet accord marque une étape importante dans la régulation de l’IA, avec pour objectif principal de garantir la sécurité et le respect des droits fondamentaux sans étouffer l’innovation.

Les nouvelles règles imposent des exigences strictes pour les systèmes d’IA jugés à haut risque. Ces systèmes, qui incluent une vaste gamme d’applications potentiellement impactantes, devront se conformer à des standards rigoureux pour assurer leur conformité aux principes éthiques et de sécurité. La classification des systèmes à haut risque est conçue pour cibler ceux susceptibles de violer les droits fondamentaux ou de présenter d’autres risques significatifs. Pour les systèmes à risque limité, des obligations de transparence moins contraignantes sont prévues, permettant aux utilisateurs de prendre des décisions éclairées.

Cette législation a des implications majeures pour les entreprises, notamment les petites et moyennes entreprises (PME). Des adaptations spécifiques ont été apportées pour rendre la conformité plus faisable techniquement et moins contraignante, notamment en termes de qualité des données et de documentation technique. En outre, l’accord prévoit des sanctions substantielles pour les violations, avec des plafonds plus proportionnés pour les PME et les jeunes pousses, soulignant l’importance d’une conformité rigoureuse.

Pour les utilisateurs, ces mesures renforcent la confiance dans les systèmes d’IA, garantissant que leur déploiement dans l’UE respecte les normes élevées en matière de droits et de sécurité. Une analyse d’impact sur les droits fondamentaux avant la mise sur le marché des systèmes d’IA à haut risque est une avancée notable, assurant une protection accrue des droits individuels.

En résumé, cet accord provisoire représente un équilibre entre la promotion de l’innovation dans le domaine de l’IA et la protection des citoyens et des entreprises européennes contre les risques potentiels associés à ces technologies. Il établit un cadre législatif qui pourrait servir de référence pour les futurs développements réglementaires dans le domaine de l’IA.

À la suite de l’accord provisoire intervenu le 9 décembre, les travaux se poursuivront au niveau technique dans les semaines à venir, afin de mettre au point les détails du nouveau règlement. La présidence présentera le texte de compromis aux représentants des États membres (Coreper) pour approbation une fois ces travaux terminés.

Le texte intégral devra être confirmé par les deux institutions et faire l’objet d’une mise au point par les juristes-linguistes avant son adoption formelle par les colégislateurs.

9 nouvelles sanctions prononcées par la formation restreintes de la CNIL pour un montant total de 117 000 €

30 novembre 2023  |  Droit des nouvelles technologies

Entre septembre et novembre 2023, la formation restreinte de la CNIL a rendu 9 nouvelles décisions de sanction dont les amendes vont de 2 000 € à 20 000 € pour un montant total de 117 000 €.

Nous vous présentons ces nouvelles décisions (par ordre décroissant du montant de l’amende) :

  • 20 000 € d’amende pour une société de fabrication de produits de consommation en plastique pour absence de minimisation des données traitées, défaut d’information des personnes et défaut de sécurité des données;

  • 20 000 € d’amende pour un commerce inter-entreprise de produits surgelés pour absence de minimisation des données, manquements liés aux durées de conservation, violation à l’interdiction de traiter des données relatives aux infractions et condamnations, manquement à l’obligation d’information des personnes, défaut de registre de traitements et défaut de sécurité des données ;

  • 20 000 € d’amende pour une société faisant commerce de détail d’optique pour défaut de coopération avec la CNIL uniquement;

  • 20 000 € d’amende pour une société de conseils en systèmes et logiciels informatiques pour défaut de coopération avec la CNIL uniquement;

  • 20 000 € d’amende pour une société développant et mettant en place des logiciels de surveillance des employés pour défaut de coopération avec la CNIL uniquement;

  • 10 000 € d’amende pour une revue littéraire française pour manquement à l’obligation d’information des personnes et défaut de coopération avec la CNIL ;

  • 5 000 € d’amende pour un éditeur de site web dédié à la presse pour des manquements en lien avec l’exercice du droit d’opposition des personnes et défaut de coopération avec la CNIL ;

  • 2 000 € d’amende pour un éditeur de blog en ligne dédié à la lutte contre la pédo-criminalité pour défaut de coopération avec la CNIL uniquement ;

  • 2 000 € d’amende pour une société ayant une activité dans l’évènementiel pour absence de minimisation des données traitées, défaut d’information des personnes, défaut de registre de traitements et défaut de sécurité des données.

On note encore une fois que le défaut de coopération avec les services de la CNIL coûte cher et peut être l’unique fondement d’une sanction.

Sur toutes les décisions rendues entre septembre et novembre, 4 décisions ont prononcé une amende pour cette seule raison, dont 3 avec un montant de 20 000 € !

On note aussi que deux décisions concernent des personnes physiques et non des personnes morales : un éditeur de site web et un éditeur de blog en ligne, sanctionné respectivement à hauteur de 2 000 € et 5 000 €. 

Droit d’accès : la CJUE estime que le RGPD implique la communication « gratuite », « intégrale », « fidèle » et « intelligible » de la première copie du dossier médical

27 octobre 2023 |  Droit des nouvelles technologies

Saisie d’un litige entre un ressortissant Allemand et son chirurgien-dentiste qui refusait de lui fournir gratuitement une copie de son dossier médical, la Cour de Justice de l’Union Européenne (CJUE) s’est prononcée 26 octobre 2023 sur l’interprétation des article 12§5 et 15§3 du RGPD sur le droit d’accès accordé aux personnes.

L’article 12§5 du RGPD prévoit que le responsable de traitement n’exige aucun paiement de la personne qui demande une copie de ses données, sauf en cas de demandes manifestement infondées ou excessives.

L’article 15§3 du RGPD prévoit quant à lui que le responsable de traitement peut exiger le paiement de frais raisonnables en cas de demande de copies supplémentaires.

La cour d’appel Allemande a considéré que le chirurgien devant effectivement fournir à son patient une première copie de son dossier médical à titre gratuit.

Saisie d’un recours par le chirurgien-dentiste, la Cour fédérale Allemande a saisi la CJUE de trois questions différentes.

L’une de ces questions portait sur l’interprétation de l’article 15§3 du RGPD, pour savoir s’il fallait en comprendre que, dans une relation médecin/patient, le droit d’obtenir une copie des données à caractère personnel impliquait la remise au patient d’une copie intégrale du dossier médical (et donc de documents tels que des diagnostics, résultats…) ou seulement d’une copie des données à caractère personnel en tant que tel.  

La question peut paraître anodine, mais la réponse est essentielle : 1) Dans le premier cas le praticien est tenu de fournir l’intégralité des données (documents) en sa possession, y compris les synthèses ou les diagnostics qu’il aurait pu réaliser (et qui n’appartiennent en soi pas au patient), alors que 2) dans le second cas il n’est tenu de fournir que les données (informations) qu’il détient et traite sur son patient.

Pour répondre à cette question, la CJUE rappelle que :

  • L’article 15§3 confère aux personnes un droit d’accès leur permettant d’obtenir unereproduction fidèle de leurs données ;

  • Le terme « copie » utilisé dans cet article se rapporte aux données (informations) et non pas à un document en tant que tel, mais que cette copie doit contenir toutes les données à caractère personnel faisant l’objet d’un traitement;

  • Le droit d’accès a pour objectif de permettre à la personne de s’assurer que les données la concernant sont exactes et qu’elles sont traitées de manière licite ce qui implique que la copie doit reproduire intégralement et fidèlement les données traitées, qui doivent être faciles à comprendre.

Surtout, la CJUE explique que, même hors relation patient/médecin, le droit d’obtenir de la part du responsable du traitement une copie des données personnelles implique qu’il soit remis à la personne une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui suppose le droit d’obtenir la copie d’extraits de documents, voire de documents entiers qui contiennent lesdites données, mais aussi d’autres, si la fourniture d’une telle copie est indispensable pour permettre à la personne de vérifier l’exactitude des informations ou leur intelligibilité.

Annulation du Data Privacy Framework : ce n’est pas pour tout de suite

12 octobre 2023  |  Droit des nouvelles technologies

La demande en référé de sursis à exécution concernant le Privacy Data Framework (Comm. UE, déc. d’exécution (UE) 2023/1795, 10 juill. 2023, constatant le niveau de protection adéquat assuré par le cadre de protection des données UE – États-Unis) est rejetée car le requérant (Philippe Latombe, député français) n’est pas en mesure d’établir que la condition relative à l’urgence est remplie (préjudice grave non prouvé).

Trib. UE, ord. réf., 12 oct. 2023, aff. T-553/23 R, P. Latombe c/ Comm. UE

Délimitation du droit de rétractation des consommateurs par la Cour de justice de l’Union Européenne

05 octobre 2023 |  Droit des nouvelles technologies

Dans une décision récente (CJUE, 5 oct. 2023, C-565/22), la Cour de Justice de l’Union européenne (CJUE) a clarifié une question importante concernant les droits des consommateurs dans le cadre de l’abonnement à des services en ligne. La directive 2011/83/UE relative aux droits des consommateurs établit que, lorsqu’un consommateur s’abonne à une plateforme d’apprentissage en ligne, comme c’était le cas avec Sofatutor GmbH, il bénéficie d’un droit de rétractation. Ce droit est applicable lors de la première souscription, y compris durant une période d’essai gratuit.

Toutefois, la CJUE a statué que ce droit de rétractation n’est pas renouvelé automatiquement au terme de la période d’essai gratuit si le service devient payant. Ce point est crucial pour les entreprises qui offrent des abonnements en ligne. Elles doivent s’assurer de communiquer clairement et de manière transparente sur le passage d’une offre gratuite à une offre payante, ainsi que sur les modalités de résiliation et de reconduction de l’abonnement.

Pour les entreprises, cette décision souligne l’importance d’une communication claire et conforme aux réglementations sur les droits des consommateurs. Les conditions de l’abonnement, y compris les changements de tarifs après une période d’essai, doivent être explicitement indiquées. Cela permet non seulement de respecter la législation, mais aussi de maintenir une relation de confiance avec les consommateurs.

Cette décision de la CJUE rappelle aux entreprises opérant en ligne la nécessité de revoir leurs pratiques contractuelles, en particulier dans la manière dont elles informent les consommateurs sur les conditions de leurs services. Une transparence accrue et une communication efficace sont des éléments clés pour se conformer aux réglementations européennes et éviter les litiges.

Position favorable de la CNIL sur l’Intelligence Artificielle

11 octobre 2023  |  Droit des nouvelles technologies

Dans une publication du 11 octobre 2023, la CNIL émet une position permettant de conjuguer IA et RGPD.

La CNIL identifie quatre axes principaux pour une IA respectueuse des données personnelles.

Premièrement, en matière d’IA, la CNIL admet qu’un opérateur ne puisse pas définir au stade de l’entraînement de l’algorithme l’ensemble de ses applications futures, à condition que le type de système et les principales fonctionnalités envisageables aient été bien définies.

Ensuite, la CNIL précise que le principe de minimisation des données n’empêche pas l’utilisation de larges bases de données ainsi qu’une durée de conservation longue des données d’entraînement si cela est justifié.

Enfin, la CNIL estime que la réutilisation de bases de données est possible sous réserve de vérifier que les données n’ont pas été collectées de manière manifestement illicites et que la finalité de réutilisation est compatible avec la collecte initiale. A cet égard, la CNIL estime que les dispositions relatives à la recherche et à l’innovation dans le RGPD permettent un régime aménagé pour les acteurs innovants

200 000 € d’amende CNIL pour SAF Logistics

25 septembre 2023 |  Droit des nouvelles technologies

Le 18 septembre 2023 la société SAF LOGISTICS, exerçant une activité de transport de fret aérien de la Chine vers l’Europe, a été sanctionnée par la CNIL.

Cette sanction, une amende de 200 000 €, a été prononcée à la suite de deux plaintes déposées par des salariés de l’entreprise auprès de la CNIL.

Les plaintes rapportaient que SAF LOGISTICS avait demandé à l’ensemble de son personnel de renseigner, via un formulaire, de nombreuses informations sur leur vie privée : ethnie, affiliation à parti politique, situation familiale et informations sur les parents et éventuels frères, sœurs et enfants.

Certaines de ces données sont classées comme « sensibles » par l’article 9 de réglementation sur les données à caractère personnel, leur traitement est donc par principe interdit.

La CNIL retient à l’encontre de la société SAF LOGISTICS :

  1. Une violation du principe de minimisation des données traitées (article 5, §1, c)):

Selon SAF LOGISTICS, les données collectées sur la famille des salariés devaient servir à les contacter en cas d’urgence.

La CNIL considère que cette finalité ne justifiait pas la collecte de certains renseignements : date et lieu de naissance, sexe, employeur, fonctions et situation maritale… et que dès lors la collecte ne respectait pas le principe de minimisation.

Il est à noter que lors de ces contrôles la CNIL prend soin de vérifier la cohérence des renseignements et explications fournis par une entreprise et ne se contente pas de constater, par exemple, l’existence d’une finalité.

  1. Une violation de l’interdiction de traiter des données sensibles (article 9) :

La CNIL retient que le formulaire diffusé dans l’entreprise rendait obligatoire le remplissage des champs relatifs à l’ethnie et à l’affiliation à un parti politique pour les salariés de l’entreprise souhaitant postuler en Chine.

Elle en déduit que le « consentement » qui avait pu être donné n’était pas libre (puisque le refus de remplir ces champs aurait conduit à une « sanction » de refus d’étude du dossier pour un poste en Chine) et que le traitement de ces données était donc illicite.

  1. Violation de l’interdiction de collecter des données relatives aux infractions (article 10 du RGPD) :

La société SAF LOGISTICS conservait les extraits de casier judiciaire (bulletin n°3) de ses salariés dans leurs dossiers individuels.

Or, selon les dispositions légales, un employeur ne peut que consulter le casier judiciaire des candidats, et non en conserver une copie.

  1. Refus de coopérer avec la CNIL

Comme nous le soulignons régulièrement dans notre Lex-Part infos, le refus de coopérer avec les services de la CNIL (volontairement ou non) conduit bien souvent à alourdir le montant des sanctions.

En l’occurrence, la société SAF LOGISTICS a tenté de duper la CNIL en fournissant par deux fois des traductions incomplètes du formulaire ayant permis la collecte des données (dont la CNIL avait demandé la traduction puisqu’il était rédigé en chinois).

Le groupe CANAL+ écope d’une amende de 600 000 € pour divers manquements au RGPD

12 octobre 2023  |  Droit des nouvelles technologies

31 plaintes contre le groupe CANAL + avaient été déposées auprès de la CNIL entre le mois de novembre 2019 et le mois de janvier 2021, portant notamment sur les méthodes de prospection téléphonique, la transmission de données bancaires et l’exercice des droits.

S’agissant de la prospection, qu’elle soit téléphonique ou électronique, le RGPD impose que le responsable de traitement recueille le consentement des personnes.

Lors de son enquête, la CNIL s’est rendue compte que le groupe CANAL + n’était pas capable d’apporter la preuve de ce consentement (aucun recueil de consentement n’était effectué par CANAL +, ni par les prestataires par lesquels il récupérait les données de sa base de prospection).

Elle retient que près de 4 millions de personnes ont fait l’objet d’une prospection par voie électronique durant l’année 2021 et que leur consentement n’a pas ou mal été recueilli.

La CNIL reproche également au groupe CANAL + de n’avoir pas correctement informé les personnes concernées des traitements de leurs données.

Elle retient notamment que :

  • La page « Données personnelles et confidentialité » ne développe pas de manière suffisamment préciser les durées de conservation des données ;
  • L’information fournie aux personnes lors des appels téléphoniques (encadrée par l’article 14 du RGPD) était incomplète, voire absente.

La CNIL retient encore contre le groupe CANAL + des manquements en lien avec :

  • L’exercice des droits des personnes, dont le droit d’accès ;
  • L’encadrement par un acte juridique des traitements effectués pour le groupe par d’autres entités (conclusion de contrats de co-traitance ou de sous-traitance RGPD) ;
  • Son obligation de sécurité des données, le groupe CANAL + utilisant un algorithme de stockage des mots de passe obsolète depuis 2014 et insuffisamment robuste

Enfin, la CNIL retient que le 5 février 2020 le groupe CANAL + a été informée par des abonnées de la survenance d’une violation de données, les abonnés pouvant visualiser les informations relatives à d’autres abonnés.

Elle retient que le groupe CANAL + n’a pas notifié cette violation à la CNIL et que dès lors, il a manqué à ses obligations fondées sur l’article 33 du RGPD.

Tous ces manquements ont conduit la CNIL à sanctionner le groupe CANAL + à hauteur de 600 000 €.

Droit d’accès des personnes concernées valable même lorsque les faits sont antérieurs à l’entrée en vigueur de la réglementation sur les données personnelles mais limité par la CJUE

24 septembre 2023 |  Droit des nouvelles technologies

Dans les faits : Un salarié et client d’une banque finlandaise ayant appris que ses données personnelles de client avaient été consultées à plusieurs reprises par des membres du personnel, en 2013, il requiert de la banque la transmission de plusieurs informations au titre du droit d’accès : identité des personnes ayant consulté ses données, dates de consultation et finalités du traitement de ces données.

La banque ayant refusé, la CJUE a été saisie par les instances nationales, entres autres pour savoir si le droit d’accès accordé par l’article 15 du RGPD était applicable à des faits, et informations liées, antérieurs à la date d’entrée en vigueur du RGPD. 

Pour la CJUE, le droit d’accès conféré par l’article 15 du RGPD s’applique aux demandes d’information portant sur des opérations de traitement effectuées avant l’entrée en vigueur du RGPD, tant que la demande a été effectuée après.

Toutefois, s’agissant plus spécifiquement des informations demandées par le client, la CJUE rappelle que les informations visées par l’article 15 du RGPD lui permette d’obtenir les dates de consultations et les finalités, mais pas l’identité des salariés concernés, sauf à ce que ces informations soient indispensables pour lui permettre d’exercer ses droits, dont une éventuelle action judiciaire.

La CJUE opère ainsi une mise en balance des droits et libertés fondamentaux de la personne concernée (droit d’accès) et des salariés du responsable de traitement (droit au respect de la vie privée) et estime que le respect de la vie privée prévaut sur le droit d’accès à moins d’une nécessité pour l’exercice d’un droit.

Encadrement par la CNIL de la télésurveillances d’examens en ligne

23 septembre 2023  |  Droit des nouvelles technologies

Le recours au passage d’examen à distance sous forme numérique par les établissements d’enseignement supérieur publics et privés est de plus en plus répandu. Les dispositifs de télésurveillance utilisés dans ce cadre étant par nature intrusifs, la CNIL rappelle les obligations du RGPD et incite au respect de bonnes pratiques.

Voici une liste mise à jour des principales recommandations de la CNIL en la matière :

  • Les établissements et organismes organisant des examens, ainsi que leurs éventuels sous-traitants (par exemple les fournisseurs de solution de télésurveillance), devraient garantir aux candidats que leurs données ne seront pas utilisées pour un autre objectif que le passage et la surveillance d’un examen à distance.
  • Les modalités d’examens permettant une validation à distance des compétences sans recours à des dispositifs de télésurveillance devraient être privilégiées lorsque cela est possible.
  • De façon générale, le passage d’examens surveillés à distance devrait être une possibilité offerte aux étudiants et non une obligation. Dans ce cas, une alternative en présentiel devrait être proposée aux candidats (sauf cas spécifiques, tels qu’une crise sanitaire ou pour les établissements qui ont fait du distanciel l’essence même de leur organisation).
  • Les étudiants devraient être informés le plus tôt possible des conditions de mise en œuvre de la télésurveillance, afin qu’ils puissent faire leur choix en toute connaissance de cause.
  • Les établissements et organismes devraient s’assurer que les dispositifs utilisés pour la télésurveillance sont compatibles avec les équipements dont disposent les étudiants, qu’ils n’entraînent pas de risques de sécurité pour ces derniers et que les logiciels nécessaires peuvent être facilement installés et désinstallés.
  • L’établissement devrait être particulièrement attentif à la proportionnalité des dispositifs de télésurveillance mis en œuvre. Si un juste équilibre ne peut être trouvé entre efficacité et intrusivité du dispositif employé, l’établissement ou l’organisme organisateur devrait envisager une épreuve en présentiel ou privilégier une autre forme d’examen.
  • Par ailleurs, le choix des outils de télésurveillance devrait prendre en compte le contexte et l’enjeu de l’épreuve. Par exemple, une surveillance renforcée pourrait être appropriée pour le passage d’un concours, mais un examen présentant un enjeu faible dans le processus de validation de la formation d’un étudiant (par ex. un examen blanc) devrait être effectué sous une télésurveillance peu intrusive.

Le recours à des systèmes d’analyse automatique devrait se limiter à l’environnement des candidats, et à des circonstances justifiant l’utilisation de tels systèmes. Toute analyse automatique du comportement des candidats devrait être exclue.

La CNIL publie une recommandation relative au partage de données via API

17 septembre 2023 |  Droit des nouvelles technologies

Les API ou « interfaces de programmation d’application » sont des interfaces logicielles permettant de lier un logiciel ou un service à un autre logiciel ou service pour permettre l’échange de fonctionnalités et de données, notamment à caractère personnel.

La CNIL souhaite promouvoir l’usage des API, mais pas au détriment de la protection des données à caractère personnel.

Pour cette raison, la CNIL a émis une recommandation identifiant les situations dans lesquelles l’utilisation d’API peut être recommandée, ainsi que les facteurs de risque à prendre en considération pour alimenter une analyse de risque.

Cette recommandation s’intéresse à plusieurs thématiques générales : coordination fonctionnelle des organismes, information des personnes, sélection des données, gestion des accès, gestion interne des API….

Et se prononce également sur des thématiques plus spécifiques, en lien avec l’intention des détenteurs de données, des gestionnaires d’API et des réutilisateurs de données : information, minimisation des données, sécurité des données…

Vous retrouverez l’intégralité de cette recommandation sur le site de la CNIL.

Droit à l’effacement et retrait du consentement : une décision éclairante de la CJUE

17 septembre 2023  |  Droit des nouvelles technologies

Dans un litige opposant un abonné à un service téléphonique et un fournisseur d’annuaires belge, la Cour de justice de l’Union Européenne s’est prononcée sur deux thèmes centraux du RGPD : le retrait du consentement et le droit à demander l’effacement des données à caractère personnel.

Dans les faits : le fournisseur d’annuaire avait reçu une demande d’un abonné qui ne souhaitait plus que son numéro de téléphone apparaisse dans les annuaires.

Le fournisseur a bien modifié le statut de cet abonné, mais, par la suite, a reçu d’un opérateur téléphonique une mise à jour du fichier abonnés où apparaissait le numéro de l’abonné qui avait fait sa demande de retrait.

L’abonne a porté plainte auprès de l’autorité de contrôle belge qui a saisi la CJUE de plusieurs questions préjudicielles.

  1. La demande de suppression de données d’un abonné constitue-t-elle un droit à l’effacement au sens du RGPD ?

Oui, selon la CJUE la demande d’un abonné tendant à la suppression de ses données des annuaires constitue un recours au droit à l’effacement au sens de l’article 17 du RGPD, ce qui signifie que le responsable de traitement doit, a minima, répondre à la demande formulée.

  1. Le responsable de traitement est-il tenu de répercuter l’information auprès des autres responsables de traitement pour rendre effectif le retrait du consentement d’une personne concernée ?

Oui ! La CJUE considère que le fait qu’il y ait un consentement « unique » donné par la personne concernée pour tous les responsables de traitement créait une chaîne de responsables de traitement traitant, de manière indépendante, les mêmes données pour la même finalité.

Elle en déduit que la personne concernée peut s’adresser à n’importe quel responsable de traitement de la chaîne pour retirer son consentement, à charge pour ce dernier d’en informer les autres.

Si cette solution renforce l’effectivité du droit de retirer son consentement au traitement des données personnelles, elle a pour inconvénient notable de mettre à la charge du responsable de traitement concerné par la demande une nouvelle obligation en lien avec le RGPD.

E-commerçants B2C : une nouvelle règle applicable pour vos sites web !

24 juillet 2023 |  Droit des nouvelles technologies

Depuis le 1er juin 2023, tout professionnel qui propose au consommateur de conclure un contrat en ligne doit désormais également proposer au consommateur un moyen d’y mettre fin en ligne.

Cela s’applique donc aux contrats à exécution successive (c’est-à-dire aux contrats dont l’exécution s’échelonne et se renouvelle dans le temps),
comme les abonnements à un service (numérique ou non) ou à la réception récurrente de produits (par exemple des box).

Désormais, pour tous ces contrats, la fonctionnalité de résiliation du contrat prévue à l’article L. 215-1-1 est présentée au consommateur sous la mention : “résilier votre contrat” ou une formule analogue dénuée d’ambiguïté, affichée en caractères lisibles, directement et facilement accessible à partir de l’interface en ligne depuis laquelle le consommateur peut conclure des contrats par voie électronique.

S’il s’agit d’un client qui avait passé commande comme « invité » sans créer de compte, le professionnel ne peut pas lui imposer de créer un compte pour résilier en ligne.

La rubrique ou le formulaire par lequel le consommateur peut procéder à la résiliation en ligne doit afficher au minimum :

  • Les nom et prénom du consommateur, ou si le contrat a été conclu avec une personne morale, sa raison ou dénomination sociale ;
  • L’adresse électronique ou à défaut l’adresse postale permettant au professionnel de confirmer la réception de la notification de la résiliation ;
  • Toute référence préalablement communiquée par le professionnel au titulaire du contrat pour identifier ce titulaire et le contrat concerné, tel que par exemple un numéro de client ou de contrat ;
  • La date de résiliation souhaitée sous réserve des dispositions légales ou contractuelles en vigueur. Pour les services de communications électroniques, le numéro de téléphone correspondant à la ligne ou les lignes concernée(s) par la résiliation ;
  • si la résiliation requiert un motif légitime, un champ ou une liste de choix permettant d’énoncer ce motif.

Une page récapitulative de la résiliation doit s’afficher avant la validation par le consommateur de la résiliation.

La validation doit se faire par un bouton ou lien « Notification de la résiliation » ou une formule analogue dénuée d’ambiguïté, affichée en caractères lisibles.

Un hébergeur condamné à payer 442 750 € à Nintendo pour défaut de retrait de copies illicites de jeux vidéo sur son site

31 août 2023  |  Droit des nouvelles technologies

Nous l’évoquions déjà dans notre Lex-Part info du mois de mars 2023 : la responsabilité des hébergeurs est un sujet épineux dans le monde numérique, notamment en cas d’atteinte à des droits de propriété intellectuelle (droit d’auteur, marques…).

Principe : l’article 6 I-2 de la loi pour la confiance dans l’économie numérique (LCEN) prévoit que les hébergeurs ne sont pas responsables des contenus mis en ligne sur leur plateforme par des tiers, même si ces contenus sont illicites.

Exception : ce même article tempère son principe et prévoit la responsabilité de l’hébergeur si :

  • Il avait connaissance du caractère manifestement illicite du contenu,
  • Il n’a pas « promptement » réagi pour retirer un contenu illicite ayant fait l’objet d’une notification.

C’est sur cette seconde hypothèse que la cour d’appel de Paris a rendu un arrêt intéressant le 12 avril 2023.

Dans les faits, un hébergeur a été notifié par Nintendo de la présence, sur la plateforme qu’il mettait à disposition, de copies illicites de jeux vidéo (portant donc atteinte aux droits de propriété intellectuelles de l’entreprise).

L’hébergeur a refusé de retirer les liens de téléchargements litigieux et a proposé deux solutions à Nintendo :

  • Engager une procédure judiciaire pour faire constater le caractère manifestement illicite de ces jeux,
  • Se plier à la procédure contractuelle proposée par lui pour signaler le contenu.

Or, pour les titulaires de droit, l’enjeu de ces notifications est d’obtenir un retrait rapide des contenus illicites, et une cessation tout aussi rapide de l’atteinte à leurs droits de propriété intellectuelle, ce que ne permettent pas les procédures judiciaire ou amiable.

Si l’on peut comprendre qu’un hébergeur soit frileux à l’idée de retirer des contenus sur « simple notification », puisqu’il prend le risque de retirer un contenu licite et d’entrer en litige avec l’auteur du contenu, la loi dispose qu’en l’absence de prompt retrait du contenu, sa responsabilité peut être engagée.

C’est donc ce qu’a fait Nintendo qui a refusé les deux options proposées et qui a assigné l’hébergeur en responsabilité pour obtenir un dédommagement pour défaut de prompt retrait.

La solution rendue par la cour d’appel de Paris est intéressante à plusieurs égards.

1er point : la cour d’appel confirme que la procédure contractuelle proposée par l’hébergeur ne pouvait être qu’optionnelle et que le fait d’en proposer une ne pouvait pas exonérer l’hébergeur de sa responsabilité pour absence de prompt retrait.

2e point : la cour en profite pour rappeler qu’en matière d’atteinte aux droits de propriété intellectuelle la jurisprudence européenne considère que ces atteintes sont manifestement illicites et qu’il suffit que l’hébergeur en ait pris connaissance, d’une façon ou d’une autre, pour agir.

3e point : la cour d’appel détaille également les éléments dont elle a tenu compte pour calculer le montant des dommages et intérêts :

  • La marge moyenne réalisée sur les jeux concernés, soit 8,05 € par unité ;
  • La période considérée de 4 mois entre la notification faite à l’hébergeur (et non la date de mise en ligne des liens sur la plateforme) et la date de l’assignation ;
  • Les ventes manquées par Nintendo, et non le nombre de téléchargements réalisés sur la période (ce qu’avait retenu le Tribunal judiciaire). La cour considère en effet que parmi les utilisateurs ayant téléchargé les copies illicites, tous n’auraient pas acquis le jeu sur la boutique en ligne.

Elle estime à 55 000 le nombre de ventes manquées.

Le montant de la condamnation correspond donc au nombre de ventes manquées x la marge brute = 442 750 €. L’hébergeur a également été condamné au retrait des copies, sous astreinte de 1 000 € par jour de retard.

Les transferts de données personnelles vers les USA à nouveau autorisés

10 juillet 2023 |  Droit des nouvelles technologies

🏖️🇺🇸 Les USA, à nouveau destination touristique à la mode pour vos données personnelles !

🤔 Depuis le 16 juillet 2020, les transferts de données personnelles à destination des USA (entreprises ou serveurs basés aux USA) étaient interdits depuis l’invalidation d’une décision UE 2016/1250 d’adéquation nommée « Privacy Shield ». Depuis lors, il était juridiquement devenu impossible de justifier, dans la plupart des cas, le recours à un sous-traitant ou destinataire de données américain.

➡️ Cette situation intenable est à présent révolue (du moins jusqu’à la possible prochaine invalidation du nouvel accord…).

En effet, la Commission Européenne a adopté ce jour une décision d’ #adéquation au bénéfice des entreprises américaines, le #DataPrivacyFramework.

⚠️ ATTENTION ! Cette autorisation n’est pas générale, puisqu’elle bénéficiera uniquement aux entreprises qui figureront sur une liste publiée par le Ministère Américain du Commerce.

Cette liste n’est pas encore publiée à l’heure où nous écrivons ces lignes, mais ce lien vous permettra de vérifier l’adéquation de votre fournisseur américain à la réglementation : https://www.dataprivacyframework.gov/s/participant-search

🤌D’accord, mais qu’est-ce que cela change ?🤌

Si la société US à laquelle vous souhaitez #transférer des données est dans cette liste :
➡️ Cela ne sera plus interdit ;
➡️ Vous n’aurez pas à encadrer le transfert par un outil juridique supplémentaire : c’est comme si votre partenaire était en Union Européenne !

🤔 Si votre fournisseur #américain est dans cette liste, quelles sont vos obligations réglementaires ? 🤔

Et bien vos autres obligations légales ne changent pas et que vous devrez toujours :
➡️ Au plus tard lors de la collecte des données transférées, informer les personnes concernées de l’existence et des conditions de ce transfert ;
➡️ Conclure par un écrit un contrat de sous-traitance #RGPD pour encadrer le transfert lorsqu’il s’agit d’une sous-traitance.

La CNIL annonce à court terme un certain nombre de précisions et communications de sa part sur le sujet. Nous vous tiendrons naturellement informés au fil du temps sur notre page LinkedIn !

Régulation de l’Intelligence Artificielle en UE : cela se précise…

24 juin 2023  |  Droit des nouvelles technologies

Les députés du Parlement européen ont donné leur accord préliminaire au projet de régulation de l’intelligence artificielle (« IA Act ») de l’Union européenne.

L’objectif de l’UE est de devenir le premier acteur à adopter un cadre juridique complet pour encadrer l’utilisation de l’IA, en limitant les abus potentiels tout en favorisant l’innovation sécurisée.

Ce sujet complexe a suscité de longs débats, en particulier concernant les risques posés par les systèmes d’IA générative capables de créer des textes et des images.

Ce règlement ne sera pas mis en application avant 2026, mais en anticiper les grands apports permettra à ceux qui mènent actuellement un projet basé sur un système d’I.A. de s’adapter aux contraintes légales et réglementaires à venir.

Les IA interdites concerneront les applications contraires aux valeurs européennes, à savoir :

  • les systèmes d’identification biométriques à distance en « temps réel » dans les espaces accessibles au public;
  • les systèmes d’identification biométrique à distance « a posteriori », à la seule exception des forces de l’ordre pour la poursuite de crimes graves, et seulement après autorisation judiciaire;
  • les systèmes d’identification biométrique utilisant des caractéristiques sensibles (par exemple, le genre, la race, l’origine ethnique, le statut de citoyen, la religion, l’orientation politique);
  • les systèmes de police prédictive (fondés sur le profilage, la localisation ou le comportement criminel passé);
  • les systèmes de reconnaissance des émotions utilisés dans les services répressifs, la gestion des frontières, le lieu de travail et les établissements d’enseignement;
  • la saisie non ciblée d’images faciales provenant d’internet ou de séquences de vidéosurveillance en vue de créer des bases de données de reconnaissance faciale (ce qui constitue une violation des droits humains et du droit au respect de la vie privée).

Les IA soumises à autorisation préalable, qualifiées d’IA à haut risque, seront celles qui portent gravement atteinte à la santé, à la sécurité et aux droits fondamentaux des personnes ou à l’environnement. Les systèmes d’IA utilisés pour influencer les électeurs et le résultat des élections, ainsi que les systèmes d’IA utilisés dans les systèmes de recommandation exploités par les plateformes de médias sociaux font partie de cette catégorie.

Les autres systèmes d’IA seront soumis à des obligations de transparence, de documentation, de gestion des risques et de sécurité dépendant de leur niveau de risque pour la population, sans pour autant relever d’un régime d’autorisation préalable.

Un mot sur les IA génératives (type ChatGPT, ou celles créant des deepfakes) : toute production réalisée par une IA générative devra explicitement mentionner au public qu’il l’a été par un système d’IA.

Enfin, un régime de dépôt de plainte pénale à l’égard des systèmes d’IA est en cours d’élaboration.

Condamnation de CRITEO par la CNIL à 40 M€ d’amende

16 juin 2023 |  Droit des nouvelles technologies

Le 15 juin 2023, la CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.

La société CRITEO est spécialisée dans le « reciblage publicitaire », qui consiste à suivre la navigation des internautes afin de leur afficher des publicités personnalisées. Pour cela, la société collecte les données de navigation des internautes grâce au traceur (cookie) CRITEO qui est déposé dans leurs terminaux lorsqu’ils se rendent sur certains sites web partenaires de CRITEO. Via ce traceur, cette société analyse les habitudes de navigation afin de déterminer pour quel annonceur et pour quel produit, il serait le plus pertinent d’afficher une publicité à un internaute en particulier. Elle participe ensuite à une enchère en temps réel (real time bidding) puis, si elle remporte l’enchère, affiche la publicité personnalisée.

La CNIL a retenu cinq manquements au RGPD à l’encontre de la société CRITEO.

  1. Un manquement à l’obligation de démontrer que la personne a donné son consentement (article 7.1 du RGPD)

D’après la loi, le traceur (cookie) CRITEO utilisé pour cibler les publicités ne peut être déposé sur le terminal de l’internaute sans son consentement. Le recueil de ce consentement incombe aux partenaires de la société, qui sont en contact direct avec les internautes.

Cependant, cela ne dispense pas la société CRITEO de son obligation de vérifier et de pouvoir démontrer que les internautes ont donné leur consentement. Or, il a été constaté que le traceur (cookie) CRITEO était déposé par plusieurs partenaires de la société dans le terminal des internautes sans le consentement de ces derniers.

La formation restreinte a également relevé qu’au moment des investigations, la société n’avait mis en place aucune mesure lui permettant de s’assurer que ses partenaires recueillaient valablement le consentement des internautes dont elle traite ensuite les données. En ce sens, elle a notamment relevé que les contrats passés avec les partenaires ne contenaient aucune clause les obligeant à fournir la preuve du consentement des internautes à CRITEO. En outre, la société n’avait entrepris aucune campagne d’audit de ses partenaires avant l’engagement de la procédure par la CNIL.

  1. Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)

La politique de confidentialité de la société n’était pas complète puisqu’elle ne comportait pas l’ensemble des finalités poursuivies par le traitement. Par ailleurs, certaines des finalités étaient exprimées dans des termes vagues et larges, qui ne permettaient pas à l’utilisateur de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs.

  1. Un manquement au respect du droit d’accès (article 15.1 du RGPD)

Lorsqu’une personne exerçait auprès d’elle son droit d’accès, la société lui transmettait, sous forme de tableaux, les données extraites de 3 des 6 tables composant sa base de données. La formation restreinte a pourtant relevé que les données personnelles contenues dans 2 des 3 autres tables devaient être communiquées aux personnes. En outre, lorsque la société transmettait ces tableaux, elle ne leur fournissait pas d’informations suffisantes pour leur permettre de comprendre leur contenu.

  1. Un manquement au respect du droit de retrait du consentement et de l’effacement de ses données (articles 7.3 et 17.1 du RGPD)

Lorsqu’une personne exerçait son droit au retrait du consentement ou à l’effacement de ses données, le processus mis en œuvre par la société avait seulement pour effet d’arrêter l’affichage de publicités personnalisées à l’utilisateur. Pour autant, la société ne procédait ni à la suppression de l’identifiant attribué à la personne, ni à l’effacement des évènements de navigation liés à cet identifiant.

  1. Un manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)

L’accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements vis-à-vis d’exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou bien, si nécessaire, la réalisation d’une étude d’impact au titre de l’article 35 du RGPD.

Pêle-mêle de condamnations RGPD au sein de l’Union Européenne

26 juillet 2023  |  Droit des nouvelles technologies

26.07.23 – Espagne – Un gardien de sécurité a été condamné à 10 000 € d’amende pour avoir capturé des images de vidéosurveillance et les avoir ensuite transmises par Whatsapp à ses collègues à des fins professionnelles.

12.06.23 – Grèce – L’autorité grecque de protection des données a infligé une amende de 100 000 euros à une banque pour avoir inclus par erreur les données personnelles de ses clients dans une liste de débiteurs et pour n’avoir pas répondu correctement à une demande d’accès.

L’autorité de protection des données a également conclu que le responsable du traitement n’avait pas mis en œuvre des mesures organisationnelles et techniques suffisantes conformément à l’article 25 du règlement RGPD.

16.06.23 – Allemagne – Un tribunal allemand a jugé qu’un responsable du traitement peut refuser de donner suite à des demandes d’accès au titre de l’article 15 du RGPD, conformément à l’article 12, paragraphe 5, point b), du RGPD, si ces demandes visent exclusivement à atteindre des objectifs qui ne sont pas liés à la protection des données.

En l’occurrence ici, un salarié souhaitait instrumentaliser le droit d’accès pour utiliser les éléments reçus à l’encontre de son employeur.

04.07.23 – Espagne – Une mère a exercé un droit d’accès auprès de la banque de son fils mineur pour connaître le détail de ses relevés bancaires. La banque y a répondu favorablement. A tort, selon la CNIL espagnole.

L’autorité espagnole de protection des données a en effet infligé une amende de 25 000 euros à Caixabank pour n’avoir pas pris les mesures techniques et organisationnelles appropriées pour vérifier l’identité du client avant de lui donner accès à des données à caractère personnel, en violation de l’article 32, paragraphe 1, du règlement général sur la protection des données (RGPD).

19.06.23 – Espagne – L’autorité espagnole de protection des données a infligé une amende de 50 000 euros à une entreprise de logistique pour avoir installé des caméras vidéo dans la zone de repos des employés, en violation de l’article 6 du règlement RGPD.

+

Entreprises cyber-assurées : pas d’indemnisation sans plainte dans les 72 heures !

10 mars 2023 |  Droit des nouvelles technologies

A partir du 25 avril 2023, l’indemnisation par les assurances des pertes et dommages d’une entreprise subis à raison de cyberattaques sera conditionnée au dépôt de plainte réalisé dans les 72 heures de la découverte de l’attaque !

Le 24 janvier 2023, la loi d’orientation et de programmation du ministère de l’intérieur (aussi appelée « LOPMI ») a été adoptée et publiée au Journal Officiel le lendemain.

Cette loi comporte un « cavalier législatif », c’est-à-dire une disposition sans lien avec le sujet traité par la loi, qui concernera toutes les entreprises et tous les entrepreneurs individuels dès le 25 avril 2023 !

Cette loi intègre un nouveau chapitre X dans le code des assurances et un nouvel article L12-10-1 qui prévoit :

« Chapitre X

« L’assurance des risques de cyberattaques

« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.

« Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

II.-Le I entre en vigueur trois mois après la promulgation de la présente loi ».

Cette disposition concerne toute personne morale et personne physique dans le cadre de ses activités professionnelles !

Concrètement, cet article prévoit que l’indemnisation des préjudices résultant d’une cyberattaque sera conditionnée à la plainte de la victime auprès des autorités compétentes, dans les 72h de la découverte de l’attaque.

En l’absence de plainte, aucune indemnisation ne sera versée à la victime.

Cette règle, qui entrera en application au 25 avril 2023, sera applicable à tous les contrats en cours, y compris ceux prévoyant expressément une protection sans condition ou sans condition similaire de ces risques.

Cette condition légale inédite a été pensée comme d’ordre public, ce qui signifie qu’il ne sera pas possible pour les assurés de renégocier leurs contrats ou de négocier leurs contrats à venir pour obtenir des conditions plus favorables ! Aucune stipulation plus avantageuse ne permettra d’écarter cette condition de plainte dans les 72h.

La meilleure solution reste donc encore de se prémunir contre les cyberattaques en renforçant son système d’information ! D’autant que les activités cybercriminelles sont loin d’être en voie d’extinction…

Un nouveau guide publié par la CNIL à destination des recruteurs

10 mars 2023  |  Droit des nouvelles technologies

Dans la Lex-Part infos de décembre 2022 nous vous informions qu’il était désormais possible pour les entreprises de faire certifier certains de leurs traitements de données par un organisme certificateur.

Les articles 24 et 42 du RGPD prévoient que les responsables de traitement et/ou les sous-traitants puissent obtenir une certification d’une durée de 3 ans, renouvelable, qui fera foi de conformité en cas de contrôle.

Cette certification ne peut être délivrée que par les autorités de contrôle (la CNIL) ou des organismes tiers préalablement agréés par la CNIL ou par le Comité français d’accréditation (qui a conclu une convention de coopération avec la CNIL qui lui délègue notamment son pouvoir d’agrément)

Afin d’éviter la prolifération d’organismes qui ne suivraient pas scrupuleusement le référentiel approuvé par elle et de limiter le nombre de demandes d’agrément, la CNIL a établi un référentiel déterminant des critères auxquels devront répondre les organismes aspirant à l’obtention de l’agrément.

La CNIL pose des exigences générales, les organismes doivent notamment être transparents sur les financements qu’ils reçoivent et ne pas entretenir de liens significatifs avec les clients qu’ils certifient.

Ils doivent également pouvoir démontrer qu’ils disposent de procédures et mesures conformes au RGPD en matière de traitement des données personnelles de leurs clients et que leurs salariés sont formés à la protection des données à caractère personnel et disposent de connaissances et d’une expérience appropriée.

Ce référentiel prévoit une liste d’éléments qui devront être transmis par le candidat à la certification à l’organisme certificateur :

  • Description de la structure et de ses liens avec d’autres organisations,
  • Liste des transferts de données à des organismes situées dans un pays tiers de l’Union Européenne,
  • Liste des sous-traitants et responsables de traitements conjoints,
  • Caractéristiques générales des traitements (dont les catégories de données traitées)
+

La copie d’une signature apposée sur un PDF vaut signature

03 mars 2023 |  Droit des nouvelles technologies

L’apposition d’une signature sous forme d’une image numérisée (photocopie) sur un PDF, lorsqu’il n’est pas contesté que cette signature est celle du cocontractant et qu’elle permet d’identifier son auteur, vaut signature au sens de l’article 1367 du code civil.

C’est le sens de la décision rendue par la Cour de cassation le 14 décembre 2022 à propos d’un contrat de travail à durée déterminée comportant la signature photocopiée de l’employeur, et non sa signature manuscrite.

A la rupture du contrat, le salarié a saisi la juridiction prud’homale pour faire requalifier son contrat en contrat de travail à durée indéterminée, et donc faire condamner son employeur au paiement d’une indemnité de requalification, en prenant justement prétexte de ce qu’il estime être une « absence de signature ».

Selon lui, la signature présente sur le contrat étant une image numérique, elle ne correspond ni à une signature manuscrite, ni à une signature électronique au sens de l’article 1367 du code civil et n’a donc aucune valeur juridique.

La cour d’appel et la Cour de cassation rejettent cette argumentation.

Si en effet la signature numérisée n’est pas une signature électronique au sens du code civil, il n’était dans les faits pas contesté que cette signature était bien celle du dirigeant de la société (habilité à signer ce type de contrat) et qu’elle permettait de l’identifier.

Partant, la Cour de cassation considère que la signature manuscrite numérisée du gérant ne vaut pas absence de signature et ne permet pas la requalification du contrat de travail à durée déterminée en contrat de travail à durée indéterminée.

Cette décision traduit le refus d’instrumentalisation des dispositions relatives au formalisme contractuel pour obtenir un avantage quelconque.

Le chargeur universel désormais obligatoire en UE

10 janvier 2023  |  Droit des nouvelles technologies

Une nouvelle directive de l’Union européenne rend obligatoire la présence d’un port de recharge de type USB-C pour une grande variété d’appareils électroniques mis sur le marché : téléphones mobiles portatifs, tablettes, caméras numériques, ordinateurs portables…

En outre, il sera possible, pour les utilisateurs de ces appareils électroniques, d’acheter un nouvel équipement, au choix, avec ou sans dispositif de charge.

Enfin, le texte impose aux entreprises d’intégrer, aux fins d’informer clairement les utilisateurs :

  • Un pictogramme indiquant si un dispositif de charge est ou non fourni avec l’appareil ;
  • Une étiquette indiquant les capacités de chargement de l’appareil.

Entrée en vigueur de la règlementation :

  • La règlementation sera applicable à partir du 28 décembre 2024,
  • Sauf pour les ordinateurs portables pour lesquels elle ne s’appliquera qu’à compter du 28 avril 2026.

Les conditions matérielles de mise en œuvre de cette règlementation ne sont pas encore précisées et le seront en droit interne avant fin 2023 !

Taux du SMIC et du minimum garanti applicables au 1er janvier 2023

27 décembre 2022  |  Droit social

Le décret n° 2022-1608 du 22 décembre 2022 (JO du 23) porte le taux du SMIC horaire brut à 11,27 €, à compter du 1er janvier 2023.

Le SMIC mensuel brut sera donc d’un montant de 1 709,28 € pour les salariés dont la durée hebdomadaire de travail est de 35 heures.

Le décret susvisé revalorise également le montant du minimum garanti qui sera de 4,01 €, à compter du 1er janvier 2023.

+

Durées maximales de travail et minimales de repos : charge de la preuve en cas de télétravail

27 décembre 2022  |  Droit social

Dans un arrêt du 14 décembre 2022, la Cour de cassation considère que la preuve du respect des seuils et plafonds prévus par le droit de l’Union européenne et des durées maximales de travail fixées par le droit interne incombe à l’employeur, y compris lorsque le salarié effectue son travail en télétravail.

Rappel : en cas de litige portant sur le respect des durées maximales de travail et des durées minimales de repos, la preuve du respect des seuils et plafonds incombe à l’employeur.

Le fait que le salarié soit en télétravail (total ou partiel) n’a donc aucune incidence sur cette règle de preuve qui s’applique de la même façon que pour les salariés présents dans l’entreprise.

+

Heures supplémentaires : montant de la déduction de cotisations patronales des employeurs de 20 à moins de 250 salariés

5 octobre 2022  |  Droit social

Rappel : la loi portant mesures d’urgence pour la protection du pouvoir d’achat (loi n°2022-1158 du 16 août 2022, JO du 17) étend, à compter du 1er octobre 2022, la déduction de cotisations sociales patronales sur les heures supplémentaires accomplies dans les entreprises de 20 à moins de 250 salariés.

Si le montant de cette déduction ainsi que ses modalités d’application doivent être fixés par décret, qui reste à paraître, le BOSS précise le montant de la déduction forfaitaire de cotisations patronales.

Cette déduction s’élèvera à 50 centimes par heure supplémentaire effectuée à compter du 1er octobre 2022.

Pour les salariés en convention de forfait en jours, elle sera de 3,50 € par jour supplémentaire travaillé au-delà de 218 jours par an dans les conditions prévues par le code du travail.

NB : pour les employeurs de moins de 20 salariés, le montant reste fixé à de 1,50 € par heure supplémentaire et à 10,50 € par jour supplémentaire en cas de forfait jours.

+

Temps partiel et avenant de complément d’heures : impossibilité de travailler à temps complet

5 octobre 2022  |  Droit social

Rappel : depuis la loi relative à la sécurisation de l’emploi (loi n°2013-504 du 14 juin 2013, JO du 16), lorsqu’un accord de branche étendu le permet, l’employeur peut augmenter la durée du travail du salarié à temps partiel en signant un avenant de complément d’heures.

Depuis l’entrée en application de ce dispositif, une question restée en suspens : l’avenant de complément d’heures pouvait-il porter la durée du travail d’un salarié à temps partiel au niveau d’un temps plein ?

C’est cette question que tranche la Cour de cassation dans un arrêt du 1er septembre 2022. Elle considère ainsi que : 

« Il résulte de la combinaison de ces textes que la conclusion d’un avenant de complément d’heures à un contrat de travail à temps partiel, sur le fondement de l’article L. 3123-25 du code du travail, dans sa rédaction issue de la loi n° 2013-504 du 14 juin 2013, ne peut avoir pour effet de porter la durée du travail convenue à un niveau égal à la durée légale du travail ou à la durée fixée conventionnellement ».

La règle générale selon laquelle un salarié à temps partiel ne doit pas travailler au niveau d’un salarié à temps complet s’applique donc également en matière d’avenant de complément d’heures.

+

L’enjeu du nouveau référentiel CNIL sur le RGPD en pharmacie

29 juillet 2022  |  Droit des nouvelles technologies

Par délibération du 02 juin 2022, un référentiel CNIL spécifiquement applicable aux officines de pharmacie et à leurs prestataires est entré en vigueur, commenté ici le 22 juillet par l’ordre des pharmaciens.

Quatre ans après l’entrée en vigueur du RGPD, la CNIL cible donc à présent les pharmacies, et il faut désormais s’attendre à un renforcement des contrôles et sanctions dans ce secteur.

Notre département IT/Data accompagne les pharmacies dans leur mise en conformité et dans leur maintien des bonnes pratiques, afin de limiter leurs risques de sanction et de mauvaise publicité.

Notre auto-évaluation en ligne peut vous permettre de faire le point sur votre conformité et vos risques RGPD : http://lexpart-rgpd.eu/index.php/128932?lang=fr.

+

La CNIL met en demeure 22 communes de désigner un délégué à la protection des données

26 juillet 2022  |  Droit des nouvelles technologies

Les caméras dites « augmentées » ou « intelligentes » sont en plein développement et suscitent de nombreuses questions sur lesquelles la CNIL est régulièrement saisie.

Après avoir organisé une consultation publique, la CNIL publiait le 19 juillet 2022 sa position sur cette technologie et le cadre juridique applicable pour fixer des lignes rouges et apporter de la sécurité juridique aux acteurs.

Si à ce stade, leur utilisation par la force publique n’est pas autorisée par la loi française, elle ne peut non plus être envisagée pour vérifier la présence de salariés à leur poste.

+

BOSS et proratisation du plafond : les règles issues de la mise à jour du 1er juillet 2022

11 Juillet 2022  |  Droit social

La dernière mise à jour du Bulletin Officiel de la Sécurité Sociale revient sur les règles de prorata de plafond en complétant les dispositions initiales.

  • La proratisation du plafond en cas de forfaits jours réduits

Le BOSS précise depuis son entrée en vigueur que le plafond des salariés soumis à un régime de forfait annuel en jours dont le volume est inférieur à 218 jours sur l’année, peut également être réduit, dans les mêmes conditions que pour les salariés à temps partiel, selon la formule suivante :

« Plafond proratisé = valeur mensuelle du plafond × (durée du forfait en jours/218 jours) »

Cette proratisation du plafond s’applique également aux forfaits réduits mis en place en application d’accords collectifs prévoyant eux-mêmes des conventions de forfaits en jours par an d’un nombre de jours inférieur à 218 avec application de la formule suivante :

« Plafond proratisé = valeur mensuelle du plafond × (durée du forfait en jours/durée de référence inférieure à 218 jours prévue par l’accord collectif) »

NB : en revanche, si le volume du forfait annuel en jours est inférieur à 218 jours en application d’un accord collectif, nous ne sommes pas en présence d’un forfait jour réduit. La proratisation du plafond ne trouve donc pas à s’appliquer.

Le BOSS ajoute également que le recours à la proratisation du plafond « implique de recueillir, par tout moyen, le consentement du salarié concerné ».

  • La proratisation du plafond en cas de temps partiel thérapeutique

Le BOSS intègre désormais la possibilité de proratiser le plafond applicable aux salariés en temps partiel thérapeutique. La formule de calcul retenue est ainsi la suivante :

« Valeur mensuelle du plafond × (durée de travail dans le cadre du temps partiel thérapeutique/durée légale du travail ou durée conventionnelle si inférieure à la durée légale) »

+

BOSS et déduction forfaitaire de cotisations patronales au titre des heures supplémentaires : les règles issues de la mise à jour du 1er juillet 2022

11 Juillet 2022  |  Droit social

Rappel : le Code de la sécurité sociale permet aux employeurs de moins de 20 salariés de bénéficier d’une déduction forfaitaire de cotisations patronales au titre des heures supplémentaires effectuées au-delà de la durée légale du travail et, pour les salariés sous convention de forfait en jours sur l’année, des jours travaillés au-delà de 218 jours par an dans les conditions prévues par le Code du travail.

Les heures supplémentaires dites « structurelles », qui sont comprises dans une durée collective du travail supérieure à 35 heures ou dans une convention de forfait d’heures supplémentaires, ouvrent également droit à la déduction forfaitaire de cotisations patronales.

Suite à une position restrictive adoptée dans une mise à jour du 11 mars 2022 quant au traitement des heures supplémentaires structurelles en cas d’absence du salarié, la version du Bulletin Officiel de la Sécurité Sociale publiée au 1er juillet 2022 revient finalement à la position initiale.

Il admet ainsi qu’ « en cas d’absence du salarié avec maintien partiel ou sans maintien de la rémunération, les heures supplémentaires dites « structurelles » sont prises en compte dans les mêmes conditions que pour la réduction salariale, c’est-à-dire à hauteur du rapport entre la rémunération versée au cours du mois et celle qui aurait dû être versée si le salarié n’avait pas été absent (après déduction, pour la détermination de ces deux éléments, des éléments de rémunération dont le montant n’est pas proratisé par l’absence) ».

+

Boutique en ligne : quell formule utiliser sur le bouton de validation du panier ?

29 juin 2022  |  Droit des nouvelles technologies

Dans un arrêt du 7 avril 2022, la Cour de Justice de l’Union Européenne rappelle les principes applicables en la matière.

Le professionnel doit veiller à ce que le consommateur, lorsqu’il passe sa commande, reconnaisse explicitement que celle-ci implique une obligation de payer.

Ainsi, à défaut de l’emploi de la formule « commande avec obligation de paiement », l’existence d’une formule analogue dépend du sens des termes utilisés qui doit être dégagé, in abstracto, de leur emploi dans le langage commun par référence au standard du consommateur moyen.

En conséquence, si cette stricte objectivité est en pratique peu réaliste, les juridictions internes peuvent être guidées par l’exigence que la formule utilisée soit nécessairement et systématiquement associée à la naissance d’une obligation de paiement.

Il est donc conseillé aux éditeurs de sites e-commerce de veiller à utiliser une terminologie suffisamment explicite, comme par exemple ; « Valider et payer », « Valider et passer au paiement », « Passer au paiement », « Finaliser la réservation », ou encore d’écrire en caractères lisibles, sous le bouton ou au-dessus de celui-ci : « cliquer vous engage à régler votre commande ».

La CNIL met en demeure 22 communes de désigner un délégué à la protection des données

14 juin 2022  |  Droit des nouvelles technologies

La CNIL, dans une publication 31 mai 2022, a indiqué avoir mis en demeure 22 collectivités territoriales de désigner un DPO.

En juin 2021, la CNIL, qui avait concentré son action de contrôle sur les communes de plus de 20 000 habitants, a alerté celles qui n’avaient pas désigné de délégué à la protection des données. Près d’un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n’avaient pas encore accompli cette démarche. En conséquence, la présidente de la CNIL les a mises en demeure de procéder à cette désignation.

Cette actualité est l’occasion de rappeler que toute entreptrise, toute association, toute personne morale de droit privé doit désigner un DPO :

  • Lorsque les activités de base du responsable de traitement ou du sous-traitant sont des opérations de traitement qui, du fait de leur nature, impliquent un contrôle régulier et systématique des personnes concernées à grande échelle ;  ou
  • Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des données sensibles.

Inaptitude avec dispense de recherche de reclassement : la consultation du CSE n’est pas requise

14 Juin 2022  |  Droit social

A travers un arrêt du 8 juin 2022, la Cour de cassation se positionne sur la nécessité de consulter le Comité social et économique lorsque le médecin du travail prononce l’inaptitude du salarié avec dispense de recherche de reclassement, en cochant l’une des deux cases prévues à cet effet :

  • Tout maintien du salarié dans l’emploi serait gravement préjudiciable à sa santé ;
  • L’état de santé du salarié fait obstacle à tout reclassement dans l’emploi.

La Cour de cassation considère ainsi :

« Il s’ensuit que, lorsque le médecin du travail a mentionné expressément dans son avis que tout maintien du salarié dans l’emploi serait gravement préjudiciable à sa santé ou que l’état de santé du salarié fait obstacle à tout reclassement dans l’emploi, l’employeur, qui n’est pas tenu de rechercher un reclassement, n’a pas l’obligation de consulter les délégués du personnel ».

Dans le cadre de la procédure d’inaptitude, l’employeur n’a donc pas à consulter le CSE lorsque l’avis rendu par le médecin du travail fait expressément référence à l’impossibilité de reclassement.

NB : si en l’espèce il s’agissait d’une inaptitude d’origine professionnelle, la décision serait selon nous la même en présence d’une inaptitude d’origine non-professionnelle, les procédures ayant été unifiées depuis le 1er janvier 2017.

+

Elections professionnelles : les premiers renouvellements de CSE

14 Juin 2022  |  Droit social

Si le comité social et économique (CSE) a définitivement remplacé les délégués du personnel (DP), le comité d’entreprise (CE) et le CHSCT (et le cas échéant, l’instance unique ou la délégation unique du personnel), depuis le 1er janvier 2020, en pratique les premiers CSE ont été élus dès 2018.

La durée des mandats des élus au comité social et économique étant en principe de 4 ans (durée maximale), les entreprises ayant mis en place leur CSE en 2018 doivent, sur 2022, procéder au renouvellement de l’Instance.

Il en va de même des entreprises couvertes par un PV de carence dont la durée maximale de validité est de 4 ans.

Rappel : c’est l’employeur qui est tenu de déclencher le processus électoral en vue de l’élection du CSE, qu’il s’agisse d’une première élection ou de son renouvellement.

Pour ce faire, l’employeur doit informer les salariés de l’organisation des élections et inviter les syndicats à négocier le protocole d’accord préélectoral.

NB : dans le cas d’un renouvellement de l’institution, cette invitation est effectuée deux mois avant l’expiration du mandat des délégués en exercice. Le premier tour des élections a lieu dans la quinzaine précédant l’expiration de ce mandat.

Par exception, les entreprises dont l’effectif est compris entre 11 et 20 salariés n’ont pas l’obligation d’organiser les élections si aucun candidat ne s’est présenté dans le délai de 30 jours à compter de l’information du personnel sur l’organisation des élections.

Accord d’intéressement : conséquences du dépôt tardif sur le régime social

23 Mai 2022  |  Droit social

Dans un arrêt du 12 mai 2022 (n°20-22367), la deuxième chambre civile de la Cour de cassation considère :

« Il résulte de la combinaison des articles L. 242-1 du code de la sécurité sociale, L. 3312-4, L. 3313-3, L. 3314-4, L. 3315-5 et D. 3313-1 du code du travail, dans leur rédaction applicable au litige, que pour ouvrir droit aux exonérations de cotisations sur les sommes versées aux salariés à titre d’intéressement, l’accord d’intéressement doit avoir été conclu avant le premier jour de la deuxième moitié de la période de calcul suivant la date de sa prise d’effet et déposé dans les quinze jours à compter de cette date limite à la direction régionale des entreprises, de la concurrence et de la consommation, du travail et de l’emploi. Lorsqu’il est déposé hors délai, l’accord n’ouvre droit aux exonérations que pour les périodes de calcul ouvertes postérieurement à son dépôt. »

La Cour de cassation confirme ainsi que l’intéressement peut bénéficier du régime social de faveur à une double condition :

  • Avoir été conclu avant le 1er jour de la deuxième moitié de la « période de calcul » suivant la date de sa prise d’effet ;
  • Être déposé dans les 15 jours à compter de cette date limite.

Elle ajoute qu’en cas de dépôt tardif, l’intéressement dû au titre de l’intégralité de la période de calcul en cours est en dehors du champ des exonérations. La vigilance est donc de mise !

+

Barème Macron : validation de la Cour de cassation

23 Mai 2022  |  Droit social

C’est à travers deux arrêts du 11 mai 2022 (nos 21-14490 et 21-15247) que la Cour de cassation valide le barème Macron tout en écartant la voie du contrôle in concreto.

Elle estime ainsi que les juges français ne peuvent pas écarter, même au cas par cas, l’application du barème au regard de l’article 10 de la convention 158 de l’OIT, en cas de licenciement sans cause réelle et sérieuse.

Plus précisément, elle considère dans l’arrêt n° 21-14490 :

« Il en résulte, d’une part, que les dispositions des articles L. 1235-3 et L. 1235-3-1 du code du travail, qui octroient au salarié, en cas de licenciement injustifié, une indemnité à la charge de l’employeur, dont le montant est compris entre des montants minimaux et maximaux variant en fonction du montant du salaire mensuel et de l’ancienneté du salarié et qui prévoient que, dans les cas de licenciements nuls dans les situations ci-dessus énumérées, le barème ainsi institué n’est pas applicable, permettent raisonnablement l’indemnisation de la perte injustifiée de l’emploi.

Il en résulte, d’autre part, que le caractère dissuasif des sommes mises à la charge de l’employeur est également assuré par l’application, d’office par le juge, des dispositions précitées de l’article L. 1235-4 du code du travail.

Les dispositions des articles L. 1235-3, L. 1235-3-1 et L. 1235-4 du code du travail sont ainsi de nature à permettre le versement d’une indemnité adéquate ou une réparation considérée comme appropriée au sens de l’article 10 de la Convention n° 158 de l’OIT.

Il en résulte que les dispositions de l’article L. 1235-3 du code du travail sont compatibles avec les stipulations de l’article 10 de la Convention précitée. »

+

Relations B2B : si vous n’y renvoyez pas dans vos contrats, vos CGV n’ont aucune valeur !

13 Mai 2022  |  Droit des nouvelles technologies

C’est ce que rappelle la Cour de cassation dans un arrêt de sa chambre commerciale du 16 mars 2022 (n°20-22.269).

La Cour confirme l’arrêt d’une cour d’appel qui avait jugé que les conditions générales du vendeur n’étaient pas opposables à l’acheteur aux motifs que le contrat ne renvoie pas à celles-ci et que la preuve de leur acceptation expresse n’était pas rapportée.

A noter que la Cour a jugé que l’acheteur n’a pas accepté tacitement les conditions générales « en dépit de relations d’affaires suivies, dès lors que [l’acheteur]contest [ait]les livraisons dont le règlement lui est demandé », peu importe que les CGV figurent au dos des factures.

Il s’agit d’une application des solutions dégagées par la jurisprudence et désormais reprises dans le Code civil (C. civ., art. 1119).

Peut-on prouver l’existence d’un contrat par un enregistrement téléphonique ?

13 Mai 2022  |  Droit des nouvelles technologies

La CNIL, dans une publication du 25 avril 2022, répond à cette question.

L’enregistrement de conversations téléphoniques à des fins de preuve de la formation du contrat est autorisé, sous réserve d’être nécessaire. Ainsi, l’entreprise devra démontrer qu’elle ne dispose pas d’autres moyens pour prouver qu’un contrat a été conclu avec la personne concernée.

Il convient de distinguer les contrats qui peuvent être conclus à l’oral de ceux pour lesquels l’accord doit nécessairement se matérialiser par un acte écrit. Pour les contrats écrits, l’enregistrement n’est pas nécessaire afin d’établir sa conclusion, celle-ci pouvant reposer sur la production des documents imposés par la loi.

Pour les contrats pouvant être souscrits à l’oral :

  • si l’enregistrement de conversations semble possible, le principe de minimisation des données doit, en tout état de cause, être respecté. 
  • les enregistrements ne peuvent être ni permanents ni systématiques.
  • seules les conversations portant sur la conclusion d’un contrat par voie téléphonique peuvent être enregistrées.
  • la conversation ne peut être enregistrée qu’à partir du moment où son objet porte clairement sur la conclusion d’un contrat.
  • le client doit préalablement être informé de l’enregistrement téléphonique et de ses droits.

Augmentation automatique du SMIC au 1er mai 2022

15 Avril 2022  |  Droit social

Le ministère du travail a confirmé ce 15 avril 2022 que le SMIC augmentera automatiquement de 2,65 % au 1er mai 2022, du fait de la forte inflation enregistrée depuis novembre.

Le SMIC horaire brut passera ainsi de 10,57 à 10,85 euros.

En effet, selon les résultats définitifs de l’indice des prix à la consommation au mois de mars publiés par l’Insee le 15 avril 2022, l’inflation hors tabac entre novembre 2021 et mars 2022 s’établit à 2,65 % pour les 20 % des ménages ayant les revenus les plus modestes.

Or, l’article L 3231-5 du Code du travail précise : « lorsque l’indice national des prix à la consommation atteint un niveau correspondant à une hausse d’au moins 2 % par rapport à l’indice constaté lors de l’établissement du salaire minimum de croissance immédiatement antérieur, le SMIC est relevé dans la même proportion à compter du premier jour du mois qui suit la publication de l’indice entraînant ce relèvement ».

Actualisation de la charte du cotisant contrôlé

15 Avril 2022  |  Droit social

Par un arrêté du 31 mars 2022 publié au JO du 13 avril, la charte du cotisant contrôlé est actualisée. Cette actualisation est rétroactive au 1er janvier 2022.

Rappel : la charte du cotisant contrôlé a pour objet de présenter à ce dernier la procédure de contrôle et les droits dont il dispose pendant son déroulement. Elle est remise au début des opérations de contrôle et est opposable à l’Urssaf.

Trois nouveautés dans cette nouvelle version :

  • La simplification des investigations sur support dématérialisé: lorsque les documents et les données nécessaires à l’agent chargé du contrôle sont dématérialisés, les opérations de contrôle peuvent désormais être réalisées par la mise en œuvre de traitements automatisés sur son matériel professionnel ;
  • L’aménagement des délais liés à l’épidémie de Covid-19 : les délais de prescriptions applicables aux cotisations et contributions de sécurité sociale ont été suspendus entre le 12 mars et le 30 juin 2020. Cette suspension est cumulable avec la suspension du délai de prescription pendant la période contradictoire suite à contrôle ;
  • La réduction du délai de remboursement en cas de notification de crédit : à compter du 1er juillet 2022, le délai sera d’un mois à compter de la notification de crédit est adressée à l’entreprise concernée.

CNIL : 3 entreprises mises en demeure pour non-respect des règles de prospection commerciale

08 Avril 2022  |  Droit des nouvelles technologies

Si certains doutaient encore des risques d’amende ou d’injonction en cas de non-respect des règles relatives à la prospection commerciale, tout doute est définitivement levé depuis hier.

Le 7 avril 2022, la CNIL a adressé à 3 entreprises des mises en demeure préliminaires à toute sanction pour avoir adopté des comportements contraires aux règles en vigueur :

  • Un des 3 organismes a transmis des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale sans en informer les personnes sur le support de collecte des données ;
  • Les 3 organismes visés par les mises en demeure collectent puis transmettent des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale par courrier électronique et SMS mais ne recueillent pas le consentement des personnes pour le faire. Cette transmission de données est donc dépourvue de base légale (article 6 du RGPD).

Cette actualité nous rappelle la nécessité pour toute entreprise de :

  • S’assurer que seules les personnes ayant consenti (ou reconsenti) depuis moins de 3 ans sont dans les listes de mailings ou de campagnes SMS ;
  • Vérifier quelles traces et preuves informatiques démontrent que la personne concernée a bien consenti ;
  • Journaliser et démontrer sur simple demande de la CNIL la date de consentement de tout prospect à tout moment dans le système d’information.
+

Prestataires informatiques : de l’art de bien cadrer sa responsabilité…

01 Avril 2022  |  Droit des nouvelles technologies

La lecture d’un arrêt de la Cour d’appel de Rennes du 4 janvier 2022 nous rappelle l’importance de bien déterminer contractuellement, dans tous les contrats informatiques, les responsabilités de chacun.

En l’espèce, un prestataire informatique assurait l’assistance et la maintenance d’un logiciel métier RH pour le compte d’une entreprise. Cela comprenait notamment la sauvegarde des données de cette dernière.

A l’occasion d’une migration de logiciel, le prestataire a mal migré les bases de données SQL (ce que les tests par le prestataire et le client n’avaient pas permis de déceler).

Une attaque informatique subie par le client plusieurs années pus tard a révélé ce manquement… et toutes les données étaient perdues. Le client n’a eu d’autre choix que de procéder à la réintégration de toutes les données…à la main !

Pour ne pas être sanctionné, le prestataire a objecté en justice que le dommage subi par le client résultait d’une attaque informatique dont il n’était pas responsable.

Les juges ont rejeté cette argumentation en indiquant que le client, qui n’a pas de compétence particulière experte sur le sujet, n’a pas à s’assurer de la compatibilité des données avec les logiciels utilisés pour la sauvegarde qu’il réalise chaque jour : c’est au prestataire chargé de la sauvegarde d’avertir le client en cas d’obsolescence du système de sauvegarde, qu’il l’ait décelée ou soit passé à côté du sujet…

Une fois encore, les contrats informatiques sont aujourd’hui au coeur des risques des entreprises : veillez à sécuriser leur négociation et leur rédaction !

Bulletin officiel de la sécurité sociale : publication de la rubrique relative à la protection sociale complémentaire

31 Mars 2022  |  Droit social

Dans une mise à jour du 30 mars 2022, la Direction de la sécurité sociale a publié la nouvelle rubrique du Bulletin officiel de la sécurité sociale (BOSS) dédiée au traitement social des contributions des employeurs au financement de la retraite supplémentaire et de la prévoyance complémentaire.

La rubrique est en consultation publique jusqu’au 15 mai inclus, puis elle entrera en vigueur et deviendra opposable le 1er juillet 2022 (après d’éventuelles modifications).

Les circulaires dont les dispositions sont reprises ou modifiées par le BOSS seront alors abrogées (circulaires du 30 janvier 2009, du 25 septembre 2013 etc.).

6 chapitres sont répertoriés :

  • Chapitre 1 : définition des contributions des employeurs exclues de l’assiette des cotisations de sécurité sociale ;
  • Chapitre 2 : champ des prestations de retraite supplémentaire et de prestations complémentaire de prévoyance bénéficiant des dispositions d’exclusion d’assiette ;
  • Chapitre 3 : conditions relatives à la mise en place des garanties de protection sociale complémentaire ;
  • Chapitre 4 : caractère obligatoire des garanties mises en place;
  • Chapitre 5 : condition liée au caractère collectif des garanties de protection sociale complémentaire ;
  • Chapitre 6 : appréciation du caractère collectif et obligatoire en cas de suspension du contrat de travail.
+

Rupture conventionnelle individuelle : télétransmission obligatoire du CERFA de demande d’homologation

31 Mars 2022  |  Droit social

À compter du 1er avril 2022, les demandes d’homologation des ruptures conventionnelles individuelles devront être télétransmises via le site « TéléRC » (www.telerc.travail.gouv.fr).

Cette obligation a été fixée par le décret n°2021-1639 du 13 décembre 2021.

Deux exceptions :

  • A titre exceptionnelle, le décret susvisé précise que « lorsqu’une partie indique à l’autorité administrative compétente ne pas être en mesure d’utiliser le téléservice, elle peut effectuer sa démarche par le dépôt d’un formulaire auprès de cette autorité ». Dans ce cas, le CERFA sera alors rempli et signé, puis adressé à la DREETS par courrier simple ou recommandé avec AR ou par remise en main propre avec récépissé ;
  • Pour les salariés protégés, l’employeur n’a pas à demander l’homologation de la convention rupture conventionnelle au Dreets et ne peut donc pas utiliser TéléRC. Il doit, en revanche, solliciter l’autorisation de l’inspecteur du travail en lui transmettant le formulaire dédié à la rupture conventionnelle des contrats de travail des salariés protégés (Cerfa nº 14599*01), rempli et signé.

Une nouvelle procédure simplifiée de sanction pour la CNIL

23 Février 2022  |  Droit des nouvelles technologies

Depuis l’entrée en vigueur du RGPD, les sanctions de la CNIL étaient systématiquement rendues par la formation restreinet composée de 6 membres.

La loi n°2022-52 du 24 janvier 2022 instaure une procédure alternative : désormais, pour certaines affaires, la décision sera prise par un seul membre de la formation restreinte.

La procédure ne s’exerce que sous deux conditions cumulatives :

– lorsque le président de la CNIL estime que l’une des sanctions suivantes est adaptée : rappel à l’ordre, injonction de mise en conformité, le cas échéant sous astreinte (100€ par jour de retard maximum), ou amende n’excédant pas 20 000 € ;

– lorsque l’affaire ne présente pas de difficulté particulière en fait ou en droit.

Un décret d’application est attendu prochainement pour encadrer cette nouvelle procédure simplifiée.

Google Analytics « interdit » par la CNIL : que faire ?

14 Février 2022  |  Droit des nouvelles technologies

Par lusieurs mises en demeure du 11 février 2022, la CNIL a enjoint plusieurs sites web français de cesser d’utiliser Google Analytics pour réaliser leur mesure d’audience web.

? Que faire 4 jours après la décision de la CNIL « d’interdire » aux sites français d’utiliser Google analytics

1️⃣ Vérifiez que vous avez bien configuré Google Analytics

Cela ne rendra pas son utilisation légalement acceptable, mais moins risquée. Il convient que vous vérifiez que vous minimisez tous les traitements de données, en ne collectant que ce qui est strictement nécessaire pour vous permettre de remplir les finalités visées par ladite collecte.

2️⃣ Attendre la réaction de Google

Google a annoncé qu’elle communiquera en réaction à cette décision et à celle prise dans le même sens par son homologue autrichien. Google Analytics pèse environ 65-70% du marché de la mesure d’audience en Europe.

3️⃣ Envisager la mise en place d’une solution alternative

Les solutions alternatives existent. Seulement, les GAFAM nous ont (mal) habitués en créant des solutions à la fois gratuites et d’une simplicité d’usage à toute épreuve. La contrepartie cachée, tout le monde la connaît : c’est de renoncer à sa vie privée et à celle de ses clients, fournisseurs ou autres partenaires.

??La CNIL a listé sur son site web la liste des alternatives conformes au RGPD. Pour les découvrir, cliquez sur la croix ci-dessous !

+

Calcul et publication de l’index égalité professionnelle : RAPPEL de la date limite

10 Février 2022  |  Droit social

Les employeurs d’au moins 50 salariés ont l’obligation de mesurer chaque année l’écart global de rémunération entre les femmes et les hommes sur une période de 12 mois à partir de 4 ou 5 indicateurs (selon la taille de l’entreprise). Le résultat prend alors la forme d’une note sur 100 qui constitue l’index de l’égalité professionnelle.

C’est via un communiqué de presse du 3 février que le ministère du travail rappelle que les entreprises et les unités économique et sociale (UES) d’au moins 50 salariés devront avoir calculé et publié sur leur site internet leur index de l’égalité professionnelle d’ici le 1er mars 2022.

Ces mêmes entreprises devront aussi :

  • Transmettre leurs résultats aux services du ministère du travail via le site index-egapro.travail.gouv.fr;
  • Mettre à la disposition du CSE la note globale de l’index et les indicateurs via la base de données économiques, sociales et environnementales. Les résultats doivent ainsi être transmis en amont de la première réunion qui suit la publication de l’index.

Le ministère du travail rappelle également, dans son communiqué de presse, les outils qui sont mis à la disposition des entreprises pour les accompagner, à savoir :

Articulation entre rupture conventionnelle et renonciation à la clause de non-concurrence

10 Février 2022  |  Droit social

Dans un arrêt du 26 janvier 2022 (n°20-15755), la Cour de cassation précise qu’en matière de rupture conventionnelle, l’employeur qui « entend renoncer à l’exécution de la clause de non-concurrence, doit le faire au plus tard à la date de rupture fixée par la convention, nonobstant toutes stipulations ou dispositions contraires ».

Lorsque la rupture du contrat de travail prend la forme d’une rupture conventionnelle, l’employeur doit donc faire preuve de vigilance s’il souhaite délier le salarié de son obligation de non-concurrence en informant le salarié de manière expresse, claire et non équivoque, au plus tard à la date de rupture fixée par la convention de rupture conventionnelle.

En l’espèce, la clause de non-concurrence de la salariée indiquait que l’employeur avait la faculté de se libérer de la contrepartie financière de cette clause en renonçant à celle-ci. Pour ce faire, il lui fallait notifier sa décision au salarié à tout moment durant le préavis ou dans un délai maximum d’un mois à compter de la fin du préavis (ou, en l’absence de préavis, de la notification du licenciement).

NB : par cette décision, le Cour de cassation reprend le principe selon lequel le salarié ne peut être laissé dans l’incertitude quant à l’étendue de sa liberté de travailler. Elle étend ainsi sa jurisprudence relative à la renonciation à une clause de non-concurrence intervenant dans le cadre d’une rupture du contrat de travail avec dispense de préavis, par laquelle elle considérait que l’employeur devait renoncer à l’application de la clause de non-concurrence au plus tard à la date du départ effectif du salarié, « nonobstant stipulations ou dispositions contraires » (Cass. soc., 21 janv. 2015, n° 13-24471).

+

Utilisateur d’un logiciel, puis-je le décompiler pour résoudre un bug ?

02 février 2022  |  Droit des nouvelles technologies

Rappelons d’abord qu’en principe, le fait de décompiler un logiciel sur lequel on dispose d’une licence est susceptible de constituer une atteinte au droit d’auteur.

S’il faut donc absolument s’abstenir de recourir à un tel procédé, la Cour de Justice de l’UE a rendu le 06 octobre 2021 un arrêt tranchant la question de savoir si un utilisateur est en droit ou non de décompiler un logiciel pour résoudre un bug.

Selon la juridiction européenne : « l’acquéreur légitime d’un programme d’ordinateur est en droit de procéder à la décompilation de tout ou partie de celui-ci afin de corriger des erreurs affectant le fonctionnement de ce programme, y compris quand la correction consiste à désactiver une fonction qui affecte le bon fonctionnement de l’application dont fait partie ledit programme ».

Aussi faut-il se cantonner à décompiler pour corriger l’erreur et seulement dans la mesure du nécessaire, à défaut de quoi la responsabilité de celui qui décompile pourra être recherchée sur le terrain du droit d’auteur.

Interdiction de vendre un terminal connecté sans l’ouvrir aux applications tierces après 2 ans d’utilisation par le consommateur

02 février 2022  |  Droit des nouvelles technologies

Depuis le 1er janvier 2022, « Toute technique, y compris logicielle, dont l’objet est de restreindre la liberté du consommateur d’installer les logiciels ou les systèmes d’exploitation de son choix sur son terminal, à l’issue du délai prévu à l’article L. 217-12, est interdite » selon l’article L.441-6 du code de la consommation.

En termes plus clairs, l’entreprise spécialisée dans la vente B2C de hardware (tablettes verrouillées par exemple) doit impérativement mettre en place un système permettant au consommateur de déverouiller l’installation et l’utilisation de toute autre application deux ans après la livraison de l’objet connecté.

Cette obligation vise à lutter pour la réduction de l’empreinte environnementale du numérique en France à l’heure où chaque français possède en moyenne 3 objets connectés.

Une première analyse de ce texte permet d’évacuer cette nouvelle obligation en cas de vente B2B, ou encore pour les business models basés sur une opération autre que la vente (ex : leasing…).

+

Cookies : pas à jour des nouvelles règles entrées en vigueur en mars 2021, FACEBOOK et GOOGLE condamnés à 150 et 60 millions d’euros d’amende

11 janvier 2022  |  Droit des nouvelles technologies

La formation restreinte, organe de la CNIL chargée de prononcer les sanctions, a constaté, à la suite de contrôles, que les sites web facebook.com, google.fr et youtube.com proposent un bouton permettant d’accepter immédiatement les cookies. En revanche, ils ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter.

La formation restreinte a considéré que ce procédé porte atteinte à la liberté du consentement : dès lors que, sur internet, l’utilisateur s’attend à pouvoir rapidement consulter un site, le fait de ne pas pouvoir refuser les cookies aussi simplement qu’on peut les accepter biaise son choix en faveur du consentement. Cela constitue une violation de l’article 82 de la loi Informatique et Libertés. 

Du fait de ce manquement, la formation restreinte de la CNIL a prononcé :

  • deux amendes pour un total de 150 M€ contre GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED) ;
  • une amende de 60 M€ contre FACEBOOK IRELAND LIMITED.

En complément des amendes, la formation restreinte a enjoint aux sociétés de mettre à disposition des internautes situés en France, dans un délai de 3 mois, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. À défaut, les sociétés devront chacune payer une astreinte de 100 000 euros par jour de retard.

Il est donc temps, pour les sociétés n’ayant pas encore franchi le cap de mettre à jour leur outil de collecte et d’information sur les cookies de se pencher sur ce sujet…

+

Employeurs : des précisions sur ce qu’il faut transmettre au salarié qui fait valoir son droit d’accès (même en cas de naissance d’un contentieux)

11 janvier 2022  |  Droit des nouvelles technologies

Il est toujours délicat pour l’employeur de savoir ce qu’il doit, peut, ne doit pas  ou ne peut pas transmettre au salarié (ou ex-salarié) qui demande une copie de l’ensemble de ses données personnelles.

La CNIL, qui travaille actuellement sur un référentiel plus détaillé sur les sujets RH, apporte pour l’heure quelques premières indications sur la question spécifique suivante : faut-il transmettre une copie des courriels professionnels et/ou personnels du salarié ?

  1. S’agissant des mails professionnels envoyés ou reçus par le salarié, l’employeur doit envoyer une copie de ceux-ci au salarié, après s’il le souhaite les avoir anonymisés ou pseudonymisés. Exception : lorsque leur transmission est susceptible de porter atteinte aux droits de tiers comme un secret industriel. Dans ce cas, l’employeur devra indiquer au salarié pourquoi il refuse de transmettre copie des mails concernés.
  2. S’agissant des mails professionnels dans lesquels le salarié est uniquement mentionné, l’employeur doit trouver un équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances. Exemple : un employeur pourra refuser de donner suite à une demande de communication de courriels portant sur une enquête disciplinaire et dont le contenu, même caviardé, pourrait permettre au demandeur l’identification de personnes dont il ne devrait pas avoir connaissance.
  3. S’agissant des mails personnels envoyés ou reçus par le salarié via sa boîte mail professionnelle : l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire. Pour ce dernir cas, on voit mal comment l’employeur pourra, sans consulter le mail, en faire parvenir une copie au salarié. A suivre…
    +

    CNIL : 180 000 € d’amende pour SLIMPAY pour avoir manqué à son obligation de sécuriser les données personnelles (et ne pas avoir notifié la violation de données aux personnes concernées)

    10 janvier 2022  |  Droit des nouvelles technologies

    Crée en 2013, la société SLIMPAY est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients. Courant 2015, elle a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet. Ce n’est qu’en février 2020 que la société SLIMPAY s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes.

    La CNIL a effectué un contrôle auprès de la société SLIMPAY en 2020. Elle a constaté plusieurs manquements concernant le traitement de données personnelles des clients :

    • Un manquement à l’obligation d’encadrer par un acte juridique formalisé, les traitements effectuées par un sous-traitant de données ;
    • Un manquement à l’obligation d’assurer la sécurité des données personnelles ;
    • Un manquement à l’obligation d’informer les personnes concernées d’une violation de leurs données personnelles.

    La violation de données passée sous silence concernait tout de même 12 millions de personnes, et concernait : des données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN)

    À l’issue de ce processus, la formation restreinte a prononcé une amende de 180 000 euros et a décidé de rendre publique sa décision.

    +

    CNIL : 300 000 € d’amende pour FREE pour avoir omis de répondre aux demandes de clients (droit d’accès et d’opposition), et pour avoir insuffisamment sécurisé certaines données (dont les mots de passe des clients)

    10 janvier 2022  |  Droit des nouvelles technologies

    Agissant sur la base de plaintes dde clients de FREE indiquant rencontrer des difficultés dans l’exercice de leurs demandes d’accès et d’opposition à recevoir des messages de prospection commerciale, la CNIL a diligenté un contrôle sur place et constaté divers manquements sans se cantonner au seul sujet des plaintes :

    • un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ;
    • un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé ;
    • un manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), puisque la société a continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ;
    • un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque la société transmettait par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société FREE MOBILE, sans que ces mots de passe soient temporaires et que la société impose d’en changer.

    En conséquence, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé à l’encontre de la société FREE MOBILE une amende de 300 000 euros.

    +

    Les 25 décembre 2021 et 1er janvier 2022 tombent un samedi : impact sur le décompte des congés payés en jours ouvrés

    17 Décembre 2021  |  Droit social

    Lorsque le décompte des jours de congés s’effectue en jours ouvrés (c’est-à-dire en principe, du lundi au vendredi) et que le 25 décembre et le 1er janvier (jours fériés) tombent un samedi (jour non ouvré), celui-ci n’a théoriquement aucune incidence sur le décompte des congés payés.

    Toutefois, en application du principe selon lequel le calcul en jours ouvrés ne doit pas léser les salariés par rapport au calcul en jours ouvrables (Cass. soc., 27 mars 1996, n° 92-43655), l’employeur doit accorder au salarié un jour de congé supplémentaire, pour garantir l’égalité avec les salariés dont les congés sont décomptés en jours ouvrables qui, eux économisent une journée de congé.

    Exemple dans une entreprise dont l’horaire est réparti sur 5 jours du lundi au vendredi et dont un salarié prend la semaine la semaine du 20 au 26 décembre 2021 :

    décompte des congés payés en jours ouvrables : le salarié ne se voit décompter que 5 jours ouvrables de congés payés, contre 6 si le samedi 25 décembre n’était pas un jour férié chômé. Il économise donc 1 jour de CP ;

    décompte des congés payés en jours ouvrés : cela conduit aussi à décompter 5 jours (pas de différence avec une semaine sans jour férié), c’est pourquoi il faut accorder au salarié une journée supplémentaire de congé, pour qu’il ne perde pas le bénéfice du jour férié chômé.

    NB : cette règle vaut uniquement lorsque le calcul des droits à congés payés en jours ouvrés est la simple transposition du calcul en jours ouvrables prévu par le code du travail (30 jours ouvrables = 25 ouvrés).

    Plafond de sécurité sociale pour 2022 : maintien du plafond 2021

    17 Décembre 2021  |  Droit social

    Dans une actualité publiée le 9 décembre 2021 sur son site internet, l’URSSAF indique que le projet de texte fixant le plafond de la sécurité sociale pour 2022 prévoit son maintien au niveau de celui de 2021. 

    Le plafond de la sécurité sociale pour 2022 resterait donc fixé à :

    • 41 136 € pour l’année ;
    • 3 428 € pour un mois.

    Un texte définitif devrait prochainement paraître afin de nous le confirmer.

    Logiciels et applis mobiles : obligations renforcées pour les éditeurs et vendeurs au 1er janvier 2022

    07 Décembre 2021  |  Droit des nouvelles technologies

    A compter du 1er janvier 2022, la garantie légale de conformité sera étendue aux contenus et services numériques comme, par exemple, les applications mobiles.

    Ainsi, le consommateur pourra demander, pendant 2 ans à compter de la délivrance du contenu numérique (ou 1 an pour les biens d’occasion), sa réparation ou son remplacement. Le vendeur aura 30 jours pour effectuer le remplacement ou la réparation (au choix du consommateur et sans frais pour ce dernier).

    L’ordonnance du 29 septembre 2021 instaure d’autres nouveautés :

    • une obligation de fourniture des mises à jour logicielles nécessaires au maintien de la conformité du bien (smartphone, objet connecté …) ;
    • la possibilité pour le consommateur de refuser des modifications ultérieures des éléments numériques, par exemple les améliorations logicielles allant au-delà de ce qui est prévu au contrat et de ce qui est nécessaire pour assurer la conformité du bien (sécurité, maintenance…). Le consommateur pourra ainsi refuser une modification pour ne pas accroître son empreinte carbone ;
    • la récupération des contenus utilisés en cas de résolution du contrat ;
    • enfin, le vendeur devra informer le consommateur sur la durée pendant laquelle le fabricant s’engage à fournir des mises à jour.
    +

    Possibilité de résilier un contrat de création de site web en cas de non-transfert du nom de domaine

    07 Décembre 2021  |  Droit des nouvelles technologies

    Une société A sollicite d’une société B qu’elle lui crée un nouveau site web, tout en demandant le transfert de l’ancien nom de domaine afin de conserver le référencement du site.

    Le procès-verbal de livraison conforme est signé par le client (société A), sans que le transfert du nom de domaine précédent vers le nom de domaine actuel n’ait été opéré. C’est sur la signature du procès-verbal de conformité que la société B va se baser pour tenter de faire barrage aux demandes de la société A qui revendique un manquement de son prestataire à ses obligations contractuelles.

    Ce n’est pas ce que retient la cour d’appel de Paris (CA Paris, pôle 5, ch. 10, 3 mai 2021, n° 19/16132) qui fait droit à la demande de résiliation du contrat pour manquement aux obligations de la société B. En effet, la cour retient que la société A était un client qui ne disposait d’aucune connaissance en la matière et qu’à ce titre : « il incombait à la société B d’informer clairement et loyalement son client profane, au moment de la formation du contrat, sur les difficultés de transfert du nom du domaine, qui dépendait de la bonne volonté de l’ancien prestataire ».

    Par conséquent, la société A est en droit de demander la résiliation du contrat de création de site web pour faute, même postérieurement à la signature du procès-verbal de livraison conforme

    Vigilance, donc, à la signature d’un contrat de création de site web impliquant un transfert de nom de domaine !

    Indemnité inflation : adoption définitive par l’Assemblée nationale et publication de la loi au JO

    29 Novembre 2021  |  Droit social

    Mise à jour du 17 décembre 2021 : nous vous invitons à consulter en complément notre Lex-part infos flash sur ce thème mise en ligne ce jour dans notre rubrique Publications Lex-Part.

    Mise à jour du 2 décembre 2021 : la seconde loi de finances rectificative pour 2021 (n° 2021-1549) a été publiée au Journal officiel du 2 décembre 2021.

    Le second projet de loi de finances rectificative pour 2021 a été définitivement adopté par l’Assemblée nationale le 24 novembre 2021.

    Ce texte constitue la base légale de l’indemnité inflation annoncée par le Premier ministre il y a quelques semaines.

    Ainsi, l’article 13 du projet de loi précise : « Une aide exceptionnelle de 100 euros est versée à toute personne âgée d’au moins seize ans résidant régulièrement en France que ses ressources, appréciées au regard de sa situation, rendent particulièrement vulnérable à la hausse du coût de la vie prévue pour le dernier trimestre 2021. Elle ne peut être versée qu’une fois. […] ».

    Le principe de l’indemnité inflation est donc acté même si un décret devra en définir plus précisément les modalités pratiques.

    Dans l’attente de ce décret, les employeurs peuvent consulter les questions/réponses mises en ligne par le gouvernement le 3 novembre 2021 (cf. lien ci-dessous accessible).

    +

    Bons cadeaux : le plafond d’exonération à nouveau augmenté pour l’année 2021

    29 Novembre 2021  |  Droit social

    C’est à travers un communiqué de presse du 24 novembre 2021 que le Ministère de l’Economie a annoncé l’augmentation du plafond d’exonération des chèques-cadeaux pouvant être remis aux salariés pour les fêtes de fin d’année 2021.

    Ainsi, si en 2021, la limite en principe applicable de 5 % du plafond mensuel de la sécurité sociale par an et par salarié aboutissait à un montant de 171,40 €, la limite du plafond d’exonération sera donc augmentée pour être fixée à 250 €.

    NB : la limite d’exonération est la même que les bons cadeaux soient octroyés par le CSE ou par les employeurs dans les entreprises sans CSE ou dotées d’un « petit CSE » (entreprises de moins de 50 salariés ou entreprises couvertes par un PV de carence).

    En complément de ce communiqué de presse, l’URSSAF devrait prochainement apporter des précisions sur les modalités pratiques d’application de cette tolérance.

    Tenir un fichier de décompte des jours de grève du personnel, est-ce interdit ?

    12 Novembre 2021  |  Droit des nouvelles technologies

    C’est en tout cas ce que l’on serait tenté de penser en lisant la décision de la CNIL du 29 octobre 2021, sanctionnant la RATP d’une amende de 400 000 € pour ne pas avoir empêché certains membres de son personnel de mettre en place un tel traitement.

    La CNIL relève qu’un tel fichier constitue un manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées en application des articles 5.1.c et 5.2 du RGPD.

    Peu importe qu’il s’agisse d’une initiative de certains employés, ajoute la CNIL, de tels faits auraient dû être empêchés par la mise en place d’une formation suffisante du personnel par l’employeur.

    Plus sévère peut-être : peu importe également qu’une telle pratique ait été commise en méconnaissance des règles internes de l’entreprise, précise la décision de sanction.

    Pour évaluer le montant de l’amende, la CNIL indique avoir tenu compte de :

    • la nature, la gravité et la durée de la violation,
    • les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées,
    • le degré de coopération avec l’autorité de contrôle
    • et les catégories de données à caractère personnel concernées par la violation.

    +

    Authentification multifacteur et mots de passe : mise à jour des recommandations de l’ANSSI

    11 Novembre 2021  |  Droit des nouvelles technologies

    DSI, à vos claviers ! L’ANSSI a publié le 8 octobre 2021 ses recommandations mises à jour au sujet de l’authentification multifacteur et des mots de passe.

    Ce guide traite de l’authentification pour tout type d’accès, c’est-à-dire du déverrouillage d’un terminal (poste Windows, Linux, etc.), de l’accès à des comptes à privilèges (par des administrateurs par exemple), de l’accès à des applications web (privées ou publiques), etc.

    Ce guide a notamment pour objectif de constituer un support technique pour accompagner une analyse de risque sur l’authentification.

    Il se focalise uniquement sur le cas de l’authentification de personnes vis-à-vis de machines.

    Les principales recommandations qui sont mises en avant dans ce guide sont :

    • Mener une analyse de risque lors de la mise en place de moyens d’authentification.
    • Privilégier l’utilisation de l’authentification multifacteur.
    • Privilégier l’utilisation de l’authentification reposant sur un facteur de possession.
    • Adapter la robustesse d’un mot de passe à son contexte d’utilisation.
    • Utiliser un coffre-fort de mots de passe.

    +

    Loi vigilance sanitaire : le Conseil constitutionnel valide l’essentiel des mesures

    10 Novembre 2021  |  Droit social

    Mise à jour du 12 novembre 2021 : à la suite de la décision du Conseil constitutionnel, la loi n° 2021-1465 du 10 novembre 2021 portant diverses dispositions de vigilance sanitaire a été publiée au Journal Officiel du 11 novembre 2021.

    Dans une décision du 9 novembre 2021, le Conseil constitutionnel a approuvé la majorité des mesures de la loi vigilance sanitaire adoptée par l’Assemblée nationale le 5 novembre 2021, y compris la prolongation de la possibilité de recourir au passe sanitaire jusqu’au 31 juillet 2022.

    Le Conseil a ainsi jugé que les articles de la loi prorogeant jusqu’au 31 juillet 2022, l’applicabilité du régime juridique de l’état d’urgence sanitaire, la période durant laquelle le Premier ministre peut prendre certaines mesures relevant du régime de sortie de l’état d’urgence sanitaire, ainsi que l’application des systèmes d’information mis en œuvre pour lutter contre l’épidémie de covid-19, sont conformes à la Constitution. Selon lui, ces dispositions opèrent une conciliation équilibrée entre l’objectif de valeur constitutionnelle de protection de la santé et le respect des droits et libertés reconnus à toutes les personnes qui résident sur le territoire de la République.

    Le Conseil constitutionnel a, en revanche, censuré :

    – pour une question de procédure, certaines dispositions liées à l’indemnité complémentaire de l’employeur au titre du dispositif des arrêts de travail dérogatoires (article 13 du projet de loi) et à l’activité partielle de longue durée instituée à titre temporaire jusqu’au 30 juin 2022 (article 14 du projet de loi).

    – la disposition permettant aux directeurs des établissements d’enseignement scolaire d’accéder à des informations médicales relatives aux élèves et de procéder à leur traitement (article 9 du projet de loi) ;

    – la disposition relative aux assemblées générales de copropriétaires (article 14, § III du projet de loi).

    +

    Création d’un compte AT/MP : dernière ligne droite pour les entreprises de moins de 10 salariés

    9 Novembre 2021  |  Droit social

    C’est avant le 1er décembre 2021, que les entreprises de moins de 10 salariés relevant du régime général devront disposer d’un compte accidents du travail et maladies professionnelles (AT/MP), sous peine de pénalités.

    La notification dématérialisée des taux de cotisation AT/MP par la CARSAT sera en effet obligatoire à compter du 1er janvier 2022, pour l’ensemble des entreprises relevant du régime général, y compris les entreprises de moins de 10 salariés.

    En l’absence de création d’un compte AT/MP avant le 1er décembre 2021, la caisse pourra notifier une pénalité à l’entreprise égale à un pourcentage du PMSS (plafond mensuel de la sécurité sociale) par salarié, due au titre de chaque année ou, à défaut, au titre de chaque fraction d’année sans adhésion au téléservice.

    De manière pratique, l’ouverture du compte AT/MP se fait via la plateforme net-entreprises. Ainsi, les entreprises qui disposent déjà d’un compte Net-entreprises ont simplement à ajouter le compte AT/MP à partir du « Menu personnalisé ». Les entreprises n’ayant pas de compte doivent suivre le processus d’inscription à partir de la page d’accueil de net-entreprises.fr, puis sélectionner le compte AT/MP parmi les téléservices proposés.

    NB : les tiers déclarants ne pouvant se substituer à l’entreprise pour remplir l’obligation légale de dématérialisation de la notification, l’entreprise cliente doit obligatoirement ajouter elle-même le compte AT/MP à son compte net-entreprises.fr.

    Allocation chômage : validation des nouvelles règles de calcul par le Conseil d’Etat

    28 Octobre 2021  |  Droit social

    À la suite du décret du 29 septembre 2021 (n° 2021-1251) fixant l’entrée en vigueur de la réforme des modalités de calcul de l’allocation de chômage au 1er octobre 2021, plusieurs syndicats avaient demandé au juge des référés du Conseil d’État de suspendre son exécution. Ils considéraient ainsi que la situation économique restait incertaine au 1er octobre et que la réforme pénalisera les plus précaires.

    Dans sa décision du 22 octobre 2021, le Conseil d’État estime que la situation du marché de l’emploi et de l’activité économique s’est sensiblement améliorée au cours des derniers mois, et que cette situation ne fait plus obstacle à ce que la réforme puisse atteindre l’objectif poursuivi de réduction du recours aux contrats courts.

    Il ajoute que les demandeurs d’emploi bénéficient de mesures d’accompagnement prolongées, en particulier pour les demandeurs éloignés de l’emploi et ceux qui souhaitent accéder à un poste durable.

    La formation des référés estime donc que le Premier ministre pouvait légalement décider de fixer une nouvelle date d’entrée en vigueur des nouvelles règles de calcul, après avoir notamment pris en compte l’évolution des conditions du marché du travail.

    Avec les nouvelles règles de calcul, le dénominateur du salaire journalier de référence servant de base au calcul de l’allocation comprend l’ensemble des jours calendaires compris entre le 1er et le dernier jour travaillé par l’intéressé au cours d’une période de référence de 24 mois, couvrant donc tant les périodes travaillées que les périodes d’inactivité.

    Ces nouvelles règles s’appliquent aux salariés privés d’emploi dont la fin de contrat de travail est intervenue à compter du 1er octobre 2021 ou dont la procédure de licenciement est engagée à compter de cette date. 

    NB : le second volet de la réforme de l’assurance chômage fait également l’objet de recours sur le fond qui seront jugés ultérieurement par le Conseil d’État.

    +

    Indemnité inflation de 100 € : les modalités de versement aux salariés connues à ce jour

    28 Octobre 2021  |  Droit social

    Le 21 octobre 2021, le Premier Ministre annonçait la mise en place d’une « indemnité inflation » afin de répondre à la hausse du coût du carburant mais également à la hausse générale du coût de la vie.

    Ainsi, il précisait que cette indemnité serait d’un montant de 100 € et concernerait les personnes touchant moins de 2 000 € par mois, qu’ils possèdent une voiture ou non.

    En outre, il indiquait que pour les salariés, le versement se ferait au mois de décembre par l’intermédiaire des employeurs.

    Depuis cette annonce et dans l’attente du texte définitif (mesure qui devrait être intégrée à la loi de finance rectificative), des précisions nous arrivent peu à peu :

    – Le seuil de 2 000 € par mois correspondrait au montant net avant prélèvement à la source et serait apprécié par personne (et non par foyer fiscal) ;

    – Le calcul des ressources pour déterminer l’éligibilité du salarié s’effectuerait sur la base d’une moyenne sur une période allant du 1er janvier au 31 octobre 2021 ;

    – La prime serait versée en décembre aux salariés éligibles, présents dans les effectifs au 31 octobre ;

    – L’indemnité serait défiscalisée et son montant serait le même quel que soit le temps de travail ;

    – L’employeur n’aurait à regarder que la rémunération versée par ses soins. Il ne lui appartiendrait donc pas de vérifier si le salarié est multi-employeur, ni de contrôler ou questionner le salarié. Les éventuels contrôles pour éviter les doublons seraient ainsi faits par recoupement des données dont disposent les organismes sociaux ;

    – Le remboursement des employeurs s’effectuerait par une déduction sur les cotisations URSSAF.

    Passe sanitaire et obligation de vaccination : les dernières précisions du ministère du travail

    22 Septembre 2021  |  Droit social

    Rappel : depuis le 30 août 2021, l’obligation de présenter un passe sanitaire s’applique pour certains salariés qui travaillent dans les établissements, lieux, services et événements dont l’accès aux usagers est soumis au passe sanitaire.

    Parallèlement, depuis le 9 août 2021 (sous réserve des périodes transitoires instaurées), les personnes travaillant dans les établissements de santé, sociaux et médico-sociaux soumis à l’obligation vaccinale ou ceux dont la profession est soumise à l’obligation vaccinale en application de la loi du 5 août 2021 doivent être vaccinés contre la covid-19, sauf contre-indication médicale à la vaccination ou justificatif de rétablissement après une contamination par la covid-19 datant de moins de six mois.

    La dernière période transitoire est entrée en application le 15 septembre dernier et s’étendra jusqu’au 15 octobre 2021 inclus. Ainsi, le salarié qui ne peut pas justifier d’un schéma vaccinal complet peut tout de même continuer d’exercer à la condition de justifier qu’il a déjà reçu une première dose et de présenter le résultat négatif d’un test virologique qu’il devra renouveler toutes les 72 heures.

    NB : contrairement au passe sanitaire, il est utile de préciser la loi ne limite pas l’obligation vaccinale dans le temps.

    Le ministère qui a mis en ligne un document questions/réponses dès le 9 août 2021 l’alimente au fur et à mesure. Ainsi, il a notamment apporté en dernier lieu les réponses aux interrogations suivantes :

    • Un salarié dont le contrat de travail est suspendu pour défaut de passe sanitaire peut-il exercer une activité professionnelle dans une autre entreprise le temps de cette suspension ? Dans quelles conditions ?

    Si le contrat de travail du salarié est intégralement suspendu, il pourra exercer une autre activité professionnelle, sous réserve de respecter les clauses de son contrat de travail, comme par exemple l’obligation de loyauté ou une clause de non-concurrence.

    Si le contrat de travail est suspendu partiellement (cas des salariés exerçant leur activité professionnelle auprès de plusieurs employeurs ou dans plusieurs établissements, dont tous ne seraient pas soumis au passe ou à l’obligation vaccinale), le salarié peut exercer une autre activité dans le respect des durées maximales de travail.

    • Un salarié suspendu pour non-respect des mesures sanitaires (passe ou obligation vaccinale) qui démissionne ou est licencié doit-il respecter un préavis de départ ?

    Dans une telle situation, le préavis ne peut pas être exécuté puisque le salarié ne remplit pas les conditions pour exercer son activité. La non-exécution du préavis ne donne lieu ni au versement de salaire par l’employeur, ni au versement d’une indemnité compensatrice par le salarié.

    +

    Contrat de travail à temps partiel sur le mois : risque de requalification en temps plein en cas d’atteinte des 35 heures une semaine

    22 Septembre 2021  |  Droit social

    Rappel : le travail à temps partiel peut être organisé dans un cadre hebdomadaire ou mensuel voire, sous certaines conditions, sur tout ou partie de l’année. Lorsque le temps partiel est organisé dans un cadre mensuel, la durée du travail du salarié doit être inférieure à la durée mensuelle résultant de l’application, sur cette période, de la durée légale du travail.

    De même, en matière d’heures complémentaires, le Code du travail précise que ces heures ne peuvent pas avoir pour effet de porter la durée de travail du salarié à temps partiel au niveau de la durée légale du travail.

    La question qui se posait ici à la Cour de cassation était de savoir si un salarié dont le contrat organise le temps partiel sur le mois pouvait obtenir la requalification de son temps partiel en temps plein du seul fait de l’atteinte ou du dépassement de la durée légale du travail sur une semaine isolée, et ce alors qu’au global sur le mois il avait travaillé moins que la durée légale (151,67 h).

    Dans un arrêt rendu le 15 septembre 2021, la Cour casse l’arrêt d’appel en estimant :

    « Alors qu’il résultait de ses constatations que le salarié avait accompli 1,75 heure complémentaire au mois de février 2015 et qu’au cours de la première semaine de ce mois, le salarié avait effectué 36,75 heures de travail en sorte que l’accomplissement d’heures complémentaires avait eu pour effet de porter la durée du travail accomplie par le salarié à un niveau supérieur à la durée légale du travail, ce dont elle aurait dû déduire que le contrat de travail à temps partiel devait, à compter de ce dépassement, être requalifié en contrat de travail à temps complet. »

    Le fait que le temps partiel soit organisé dans un cadre mensuel et qu’au global sur le mois la durée du travail soit inférieure à la durée légale n’empêche donc pas la requalification en temps plein, selon la Cour de cassation.

    +

    Prime exceptionnelle de pouvoir d’achat : adoption définitive de la loi de finances rectificative pour 2021

    13 Juillet 2021  |  Droit social

    La loi de finances rectificative pour 2021 a été définitivement adoptée par le Parlement le 12 juillet 2021. La principale mesure attendue de cette loi est la nouvelle version de la prime exceptionnelle de pouvoir d’achat (PEPA) pour 2021-2022.

    Principales caractéristiques de la nouvelle PEPA :

    • Fenêtre de versement fixée du 1er juin 2021 au 31 mars 2022 ;
    • Mise en place par décision unilatérale ou par accord d’entreprise ou de groupe conclu selon les modalités prévues en matière d’accord d’intéressement ;
    • Exonération de cotisations, de CSG-CRDS et d’impôt sur le revenu pour les salariés dont la rémunération est inférieure à 3 SMIC appréciés sur les 12 mois précédant le versement de la prime (à proratiser en cas de temps partiel ou d’année incomplète) :
      • Dans la limite de 1 000 € pour le cas général,
      • Dans la limite de 2 000 € pour les cas limitatifs suivants : entreprises de moins de 50 salariés, entreprises couvertes par un accord d’intéressement, employeurs engagés dans des démarches de valorisation des salariés dits « travailleurs de la 2e ligne », associations et fondations reconnues d’utilité publique ou d’intérêt général, et associations cultuelles ou de bienfaisance, autorisées à ce titre à recevoir des dons ouvrant droit à réduction d’impôt ;
    • Salariés bénéficiaires : tous les salariés ou ceux dont la rémunération n’excède pas un plafond déterminé par l’accord ou la décision unilatérale qui sont liés à l’entreprise par un contrat de travail (sauf spécificités des travailleurs temporaires) soit à la date de versement de la prime, soit à la date de dépôt de l’accord ou de signature de la décision unilatérale ;
    • Possibilité de prévoir dans l’accord ou la décision unilatérale une modulation du montant de la prime en fonction de critères limitativement énumérés : rémunération, classification, durée contractuelle du travail en cas de temps partiel, durée de présence effective sur l’année écoulée (sous réserve des absences assimilées à de la présence).

    RAPPEL : La prime ne peut se substituer à aucun élément de rémunération versé par l’employeur ou qui deviendrait obligatoire en vertu de règles légales, contractuelles ou d’un usage, ni à aucune augmentation de rémunération ou prime prévue par un accord salarial, le contrat de travail ou les usages en vigueur dans l’entreprise.

    Prolongation du contrat de sécurisation professionnelle jusqu’au 31 décembre 2022

    13 Juillet 2021  |  Droit social

    L’avenant n° 5 à la convention du 26 janvier 2015 relative au contrat de sécurisation professionnelle a été signé par l’ensemble des organisations syndicales (CFDT, CGT, CFE-CGC, FO, CFTC) et des organisations patronales (MEDEF, U2P, CPME).

    Il doit encore être agréé pour entrer en vigueur. Il s’appliquera alors aux salariés visés par des procédures de licenciement engagées à compter du 1er juillet 2021.

    RAPPEL : le contrat de sécurisation professionnelle (CSP) est un dispositif, que l’employeur doit proposer aux salariés licenciés pour motif économique, si l’entreprise compte moins de 1 000 salariés ou si elle est inscrite dans un processus de redressement ou de liquidation judiciaires.

    Cet avenant n°5 prolonge le dispositif jusqu’au 31 décembre 2022.

    Il maintient le bénéfice du CSP et donc de l’allocation de sécurisation professionnelle (ASP) aux salariés licenciés, qui comptabilisent 4 mois d’affiliation (88 jours ou 610 heures) sur les 24 derniers mois ou 36 derniers mois, pour les bénéficiaires âgés d’au moins 53 ans. Ces conditions d’accès sont donc plus favorables que celles de l’allocation de retour à l’emploi (ARE).

    Il est à noter que le coefficient de dégressivité, qui affecte, au bout de 6 mois d’indemnisation, l’ARE des anciens salariés qui percevaient en moyenne au moins 4 500 € brut par mois ne s’applique pas à l’ASP.

    Le contrat conclu pour une durée de 12 mois, peut à ce jour être prolongé en cas de périodes d’activités professionnelles dans la limite de 3 mois, périodes d’arrêt maladie dans la limite de 4 mois, périodes de congé maternité dans la limite de la durée légale de ce congé. La prolongation du CSP sera également possible en cas de :

    • congé paternité et d’accueil de l’enfant (dans la limite de la durée légale du congé qui est de 25 jours) ;
    • congé d’adoption (dans la limite de la durée légale qui est de 16 semaines, 18 semaines quand il s’agit d’un troisième enfant, 22 semaines en cas d’adoptions multiples) ;
    • congé de proche aidant (dans la limite de la durée légale du congé qui est de 1 an pour l’ensemble de la carrière).

    Activité partielle : diminution de la prise en charge à partir du 1er juin 2021

    3 Juin 2021  |  Droit social

    1) Entreprises relevant du « cas général » : diminution progressive à partir du 1er juin 2021

    La baisse de l’indemnité versée au salarié en activité partielle est finalement de nouveau reportée d’un mois. Le taux de l’indemnité d’activité partielle reste donc fixé à 70 % de la rémunération horaire de référence, limitée à 4,5 SMIC, jusqu’au 30 juin 2021.

    A compter du 1er juillet 2021, le taux passera à 60%.

    Parallèlement, le remboursement des employeurs va diminuer progressivement à partir du 1er juin 2021.

    Le taux de l’allocation d’activité partielle, qui était fixé à 60 % de la rémunération horaire de référence, limitée à 4,5 SMIC (reste à charge de 15 %), jusqu’au 31 mai 2021, passe à :

    – 52 % pour le mois de juin 2021 (reste à charge de 25 %) ;

    – 36 % à partir du 1er juillet 2021 (reste à charge de 40 %), avec un taux horaire minimum qui passe de 8,11 € à 7,30 €.

    2) Entreprises des secteurs protégés et connexes : diminution progressive à partir du 1er juillet 2021

    Côté salarié, la baisse de l’indemnité versée au salarié en activité partielle, initialement prévue le 1er juillet 2021, est finalement repoussée.

    Ainsi, le passage au taux de 60 % (taux de droit commun) est fixé au 1er septembre 2021.

    Côté employeur, comme dans le cas général, la diminution du remboursement sera progressive.

    L’allocation d’activité partielle est maintenue au taux de 70 % de la rémunération horaire de référence, limitée à 4,5 SMIC (reste à charge de 0%), pour un mois supplémentaire, jusqu’au 30 juin 2021.

    Puis, l’allocation passera au taux de :

    60 % pour le mois de juillet 2021 (reste à charge de 15 %) ;

    52 % pour le mois d’août 2021 (reste à charge de 25 %) ;

    36 % à partir du 1er septembre 2021 (droit commun ; reste à charge de 40 %).

    NB : un dispositif spécifique d’indemnisation avec des taux plus favorables est mis en place pour les entreprises les plus en difficulté des secteurs protégés (ex : zone de chalandise des stations de ski).

    Attestation pôle emploi : rejet des anciennes versions depuis le 1er juin

    3 Juin 2021  |  Droit social

    Pour rappel, une attestation Pôle Emploi doit être établie lors de la sortie des effectifs d’un salarié, quel que soit le motif de cette sortie.

    L’employeur doit également transmettre l’attestation aux services de Pôle Emploi en version dématérialisée pour les employeurs de 11 salariés et plus (version papier ou électronique pour les autres).

    Depuis le 1er juin 2021, seuls les modèles d’attestation employeur en cours de validité peuvent être utilisés par les employeurs. Les anciens modèles d’attestations employeurs ne sont donc plus acceptés par Pôle Emploi.

    Pour être sûr d’utiliser un modèle à jour, il est conseillé d’établir l’attestation :

    – via le logiciel de paie ;

    – via l’« Espace employeur » sur www.pole-emploi.fr.

    Nouvelle PEPA pour l’année 2021

    29 Mars 2021  |  Droit social

    La prime exceptionnelle de pouvoir d’achat (PEPA), mise en place en 2019 et 2020, va être réactivée en 2021 dans le but de « de manifester une reconnaissance aux salariés dont la présence au travail s’est avérée indispensable pour assurer la continuité économique du pays tout au long de la crise », c’est-à-dire plus communément les « travailleurs de la 2ème ligne ».

    Si elle est présentée comme s’adressant en priorité aux travailleurs de la 2ème ligne, tous les salariés seront éligibles à cette nouvelle PEPA.

    Comme les années précédentes, la PEPA 2021 sera exonérée d’impôt sur le revenu et de cotisations sociales dans la limite de 1 000 €. Cette limite sera portée à 2 000 € dans deux cas :

    1° si l’entreprise met en place un accord d’intéressement, comme pour l’année 2020 ;

    2° si la branche professionnelle ou, à défaut, l’entreprise engage une revalorisation des conditions de travail des travailleurs de la 2ème ligne, ce qui est une nouveauté pour l’année 2021.

    NB : les exonérations fiscales et sociales attachées à la prime demeureront soumises à un plafond de rémunération, qui reste à déterminer (il s’agissait des rémunérations inférieures à 3 SMIC annuels pour les PEPA 2019 et 2020).

    Télétravail et plan d’action

    29 Mars 2021  |  Droit social

    Dans le cadre de l’actualisation du protocole sanitaire en entreprise, le ministère du travail sollicite au sein des entreprises des départements reconfinés la mise en place d’un plan d’action en matière de télétravail.

    Mise à jour avril 2021 : l’obligation d’établir un plan d’action en matière de télétravail est étendue à l’ensemble des entreprises en raison de l’extension des mesures sanitaires plus retsrictives à l’ensemble du territoire.

    Le plan d’action a pour objectif de réduire au maximum le temps de présence sur site des salariés, en tenant compte des activités « télétravaillables » au sein de l’entreprise, pour les prochaines semaines.

    Ce plan d’action, dont les modalités sont adaptées à la taille de l’entreprise, doit faire l’objet d’échanges dans le cadre du dialogue social de proximité.

    Le ministère du travail en profite pour rappeler que « le télétravail peut être considéré comme une des mesures les plus efficaces pour la protection de la santé des travailleurs, conformément au premier principe de prévention énoncé à l’article L.4121-2 du Code du travail qui consiste à éviter les risques pour la santé et la sécurité au travail« .

    En complément, la Direction générale du travail (DGT) a pris, le 25 mars 2021, une nouvelle instruction sur le contrôle du télétravail par l’inspection du travail.

    La DGT appelle ainsi les services de l’inspection du travail à vérifier lors de leurs contrôles « le caractère effectif des actions mises en œuvre dans les meilleurs délais par l’employeur pour réduire au maximum le temps de présence sur site des salariés dont les activités sont totalement ou partiellement télétravaillables ».

    Les plans d’action élaborés par les entreprises devront être présentés aux agents lors de leurs contrôles.

    En l’absence de plan d’action ou en l’absence d’actions visant à réduire le temps de présence sur site, l’agent de contrôle de l’inspection du travail pourra mobiliser les moyens de coercition appropriés.

    La DGT indique que, « d’une manière générale, les contrôles […] doivent nécessairement porter sur le respect par l’employeur de son obligation d’évaluation des risques et sur les modalités qu’il a retenues pour déterminer les mesures de prévention les plus adaptées et en suivre l’application ».

    +

    Index égalité professionnelle : rappel de la date limite de publication

    18 Février 2021  |  Droit social

    Les entreprises d’au moins 50 salariés ont jusqu’au 1er mars pour calculer et publier sur leur site internet leur Index de l’égalité femmes-hommes. Elles doivent également le communiquer, avec le détail des différents indicateurs, à leur Comité social et économique ainsi qu’à l’administration (DIRECCTE).

    NB : le site https://index-egapro.travail.gouv.fr permet de calculer et/ou déclarer en ligne l’index.

    L’Index se calcule sur un total de 100 points, à partir de 4 à 5 indicateurs selon que l’entreprise fait plus ou moins de 250 salariés :

    1° L’écart de rémunération entre les femmes et les hommes, calculé à partir de la moyenne de la rémunération des femmes comparée à celle des hommes, par tranche d’âge et par catégorie de postes équivalents ;

    2° L’écart de taux d’augmentations individuelles de salaire entre les femmes et les hommes ;

    3° L’écart de taux de promotions entre les femmes et les hommes promotions (uniquement dans les entreprises de plus de 250 salariés) ;

    4° Le pourcentage de salariées ayant bénéficié d’une augmentation dans l’année de leur retour de congé de maternité, si des augmentations sont intervenues au cours de la période pendant laquelle le congé a été pris ;

    5° Le nombre de salariés du sexe sous-représenté parmi les dix salariés ayant perçu les plus hautes rémunérations.

    En cas d’Index inférieur à 75 points, l’entreprise doit mettre en place des mesures correctives pour atteindre au moins 75 points dans un délai de 3 ans.

    Ces mesures annuelles ou pluriannuelles, doivent être définies dans le cadre de la négociation obligatoire sur l’égalité professionnelle, ou, à défaut d’accord, par décision unilatérale de l’employeur et après consultation du CSE.

    La non-publication de son Index, par l’entreprise, l’expose à une pénalité financière jusqu’à 1% de sa masse salariale annuelle. Il en va de même si l’entreprise ne met pas en œuvre les mesures correctives ou d’inefficience de celles-ci.

    +

    Prolongation de l’état d’urgence sanitaire

    17 Février 2021  |  Droit social

    La loi 2021-160 du 15 février 2021 qui est parue au JO du 16 février proroge le terme de l’état d’urgence sanitaire jusqu’au 1er juin 2021.

    Afin de tenir compte de la persistance de la menace épidémique liée à l’épidémie de Covid-19, la loi proroge également, jusqu’au 31 décembre 2021, le cadre juridique de l’état d’urgence sanitaire pour maintenir en vigueur au-delà du 1er avril 2021 les dispositions du Code de la santé publique (Art. L. 3131-12 à L. 3131-20) qui encadrent le régime spécifique de l’état d’urgence sanitaire.

    +

    Aménagement de la prise des repas en entreprise

    17 Février 2021  |  Droit social

    Jusqu’ici, l’article R. 4228-19 du Code du travail interdisait à l’employeur de laisser les salariés prendre leurs repas dans les locaux affectés au travail.

    Le décret n°2021-156 du 13 février 2021 (JO du 14) vient assouplir cette règle dans le cadre de la lutte contre l’épidémie de Covid-19.

    Lorsque la configuration de l’emplacement normalement dédié à la restauration ne permet pas de garantir le respect des règles sanitaires de distanciation physique définies, les entreprises peuvent prévoir un ou plusieurs autres emplacements, qui n’ont alors pas à comporter les équipements habituellement exigés (sièges et tables en nombre suffisant, robinet d’eau potable, matériel de conservation des aliments, matériel permettant de réchauffer les plats).

    Le cas échéant, ces emplacements peuvent être situés à l’intérieur des locaux affectés au travail.

    Le décret exclue néanmoins les locaux comportant l’emploi ou le stockage de substances ou mélanges dangereux.

    Cet aménagement temporaire des modalités de prise des repas dans l’entreprise est applicable à compter du 15 février 2021 jusqu’à l’expiration d’un délai de 6 mois suivant la cessation de l’état d’urgence sanitaire, soit en principe jusqu’au 1er décembre 2021.

    +

    Arrêt de travail dérogatoire covid-19 : modalités pratiques

    15 Janvier 2021  |  Droit social

    Une procédure en deux étapes est mise en place pour les personnes qui présentent des symptômes et ne peuvent pas télétravailler :

    1/ La première étape débute par la demande d’un arrêt de travail dérogatoire sur le site ameli.fr.

    La personne s’engage alors à réaliser un test (RT-PCR ou antigénique), dans les 2 jours suivant le jour de sa déclaration.

    Elle bénéficie ainsi d’un arrêt de travail de 4 jours maximum, au titre duquel des indemnités journalières et un complément employeur lui seront versés sans conditions d’ouverture de droits et sans délai de carence.

    2/ La seconde étape, une fois le résultat du test obtenu, consiste à enregistre le résultat du test (date de réception du résultat et le lieu de dépistage) en se reconnectant sur ameli.fravec le numéro de dossier obtenu lors de la première étape.

     Si le test est négatif, il est mis fin à l’arrêt de travail (obtenu lors de l’étape 1) et donc à l’indemnisation liée à celui-ci, à partir du soir de la date déclarée comme étant celle de l’obtention du résultat du test sur le téléservice.

     Si le test est positif, la personne sera appelée dans le cadre du contact tracing géré par l’Assurance Maladie et le conseiller lui prescrira une prolongation d’arrêt de travail lui permettant d’être isolée 7 jours depuis les premiers symptômes.

    NB : tous les assurés (salariés, travailleurs indépendants, agriculteurs, etc.) sont concernés par ce dispositif.

    https://www.ameli.fr/loire/assure/actualites/demande-darret-de-travail-dans-lattente-des-resultats-dun-test-covid-ouverture-dun-teleservice

    +

    Doublement du plafond d’exonération sociale des chèques cadeaux en 2020

    15 Décembre 2020  |  Droit social

    A titre exceptionnel, le plafond limitant l’exonération de contributions et de cotisations sociales appliquée aux chèques-cadeaux et bons d’achat pourra être doublé pour 2020, soit une limite portée à 10 % du plafond mensuel de la sécurité sociale (343 €).

    Pour bénéficier du doublement du plafond de l’exonération d’assiette sociale, les comités sociaux et économiques et les employeurs (en l’absence de comité social et économique), doivent remettre ces bons d’achat au plus tard le 31 janvier 2021.

    https://www.urssaf.fr/portail/home/actualites/toute-lactualite-employeur/doublement-du-plafond-pour-lexon.html#

    +

    Télétravail : assouplissement du protocole national pour assurer la sante et la sécurité        des salaries en entreprise face a l’épidémie de covid-19

    15 Janvier 2021  |  Droit social

    Alors que le télétravail à 100% est la règle depuis le début du deuxième confinement, pour les fonctions qui le permettent, la dernière version du protocole national sanitaire, publiée le 6 janvier 2021, assouplit quelque peu cette mesure.

    Il est, en effet, précisé : « Pour les salariés en télétravail à 100 %, un retour en présentiel est possible un jour par semaine au maximum lorsqu’ils en expriment le besoin, avec l’accord de leur employeur. Cet aménagement prend en compte les spécificités liées aux organisations de travail, notamment pour le travail en équipe et s’attache à limiter au maximum les interactions sociales sur le lieu de travail ».

    https://travail-emploi.gouv.fr/IMG/pdf/protocole-national-sante-securite-en-entreprise.pdf

    +
    Disponibilite et réactivité

    Disponibilité et réactivité

    Proximité et prestations sur mesure

    Proximité et prestations sur mesure

    Rigueur et pragmatisme

    Rigueur et pragmatisme

    Secret professionnel

    Secret professionnel

    Clarte des honoraires

    Clarté des honoraires