ACTU’Sociale – Preuve des heures supplémentaires

La Cour de cassation précise la preuve des heures supplémentaires. Focus sur l’arrêt. Cass. soc. 27/01/2021 n°17-31.046

 « En statuant ainsi, alors qu’il résultait de ses constatations, d’une part, que le salarié présentait des éléments suffisamment précis pour permettre à l’employeur de répondre, d’autre part, que ce dernier ne produisait aucun élément de contrôle de la durée du travail, la cour d’appel, qui a fait peser la charge de la preuve sur le seul salarié, a violé le texte susvisé. »

  • Preuve incombant au salarié ?
  • Que peut faire l’employeur ?
Slides - Preuve heures de travail supplémentaires Kacertis Avocats

La CNIL n’épargne ni la grande distribution ni le secteur bancaire !

Une invitation claire à respecter les droits des personnes, et un rappel des conditions d’une information accessible, compréhensible, et transparente.

Selon deux délibérations de la formation restreinte de la CNIL en date du 18 novembre 2020 (n°SAN-2020-008 et n°SAN-2020-009) rendues publiques, la société CARREFOUR et la société CARREFOUR BANQUE ont été condamnées respectivement à une amende de 2 250 000 € pour la première, et à une amende de 800 000 € pour la seconde.

Des sanctions lourdes dès lors que les manquements constatés étaient nombreux, et consistaient dans le non-respect de :

  • L’obligation d’information dont les mentions sont fixées à l’article 13 du RGPD;
  • La réglementation applicable aux cookies résultant de l’article 82 de la Loi informatique et libertés;
  • L’obligation de limiter les durées de conservation nées de l’article 1 e du RGPD;
  • L’obligation de faciliter l’exercice des droits fixée à l’article 12 du RGPD; et d’en garantir un exercice effectif selon les articles 15 et 21 du RGPD, et L.34-5 du code des postes et communications électroniques ; s’agissant notamment du droit d’opposition, et du droit à l’effacement des données, qui n’étaient pas systématiquement pris en compte ;
  • L’obligation de traiter les données de manière loyale en exécution de l’article 5 du RGPD;
  • L’obligation de sécuriser les données à caractère personnel traitées née de l’article 32 du RGPD.
  • L’obligation de notifier les violations de données à caractère personnel selon l’article 33 du RGPD.

L’on ne présente plus le groupe CARREFOUR, géant de la grande distribution, qui a diversifié ses activités et intervient désormais dans le secteur bancaire ou assurantiel, ou encore comme agence de voyages ou vendeur spécialisé dans le commerce en ligne.

Ce sont donc ses filiales, la société CARREFOUR France, dont l’activité principale est la grande distribution, et la société CARREFOUR BANQUE, établissement bancaire qui propose notamment des crédits à la consommation, qui viennent d’être lourdement sanctionnées par la CNIL en leurs qualités de responsable de traitement, suite à des contrôles réalisés en ligne et sur place.

A l’origine de la décision de diligenter un contrôle de la CNIL, le nombre important de plaintes formées contre les sociétés du groupe CARREFOUR pour non-respect des dispositions du RGPD. En effet, la CNIL a reçu 15 plaintes de particuliers entre juin 2018 et avril 2019.

La société CARREFOUR France édite un site web permettant de créer et d’accéder à son espace personnel et de passer commande. Tandis que la société CARREFOUR BANQUE, établissement bancaire, édite pour sa part un site proposant des services de banque et d’assurance en ligne. Elle commercialise une carte de paiement à destination des clients du groupe CARREFOUR, pouvant être rattachée au programme de fidélité du même groupe.

Les contrôles ont porté sur l’ensemble de ces traitements.

L’objet du présent article portera sur les manquements à l’obligation d’information des personnes, relevés à l’encontre des deux sociétés du groupe CARREFOUR (points 57 à 99 de la délibération n°SAN-2020-008 et points 39 à 68 de la délibération SAN-2020-009).

En effet, ces décisions permettent de définir les contours de l’obligation d’information fixée aux articles 12 et suivants du RGPD, et apportent des enseignements précieux quant aux conditions d’un accès conforme à l’information (I), et quant à son contenu (II).

Pour mémoire, l’article 12 du RGPD dispose notamment :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […]. »

Le contenu de l’information est fixé par les articles 13 et 14 selon que la collecte est directe ou indirecte.

I. Sur l’accès à l’information

Dans un premier temps, la formation restreinte de la CNIL a considéré que l’information délivrée par les responsables de traitement, sur les différents supports utilisés, n’était pas aisément accessible.

L’accessibilité de l’information se décline en deux critères : l’accessibilité physique / logique(a), et l’accessibilité « intellectuelle » (b) renvoyant à l’usage de termes clairs et simples.

a)  L’accès « physique » aux informations

S’agissant de l’information délivrée sur les différents sites, objets des contrôles, la CNIL a jugé que « la multiplicité des pages à consulter, des liens présents dans les différentes pages, ainsi que la redondance des informations ne permettent pas de considérer que les informations pertinentes pour les personnes sont aisément accessibles », (point 59 délibération SAN 2020-008) et que « l’information mise à disposition des utilisateurs […] par le biais de différents canaux » n’était pas aisément accessible {renvois des Mentions légales vers des mentions de Protection et confidentialité des données personnelles pour cliquer sur un lien qui renvoie vers un nouvel onglet Protection et confidentialité des données personnelles}.

La seule description du parcours utilisateur présenté par la formation restreinte dans sa décision permet, outre de donner le tournis, de se convaincre également que l’accès à la politique de confidentialité n’était pas optimal eu égard aux exigences du RGPD, compte tenu de la multiplicité des actions à mener pour y parvenir.

Quant à l’information accessible sur les sites internet, la CNIL proscrit l’insertion des mentions d’information relatives aux traitements de données à caractère mis en œuvre au sein des conditions générales d’utilisation. En effet, la CNIL considère que ces dernières sont souvent denses, complexes, longues et techniques, nous n’osons pas dire indigestes. Ainsi, la formation restreinte juge que des mentions relatives à la protection des données noyées dans des conditions générales (d’utilisation ou de vente,) ne sont pas facilement accessibles dès lors que, selon elle, « l’utilisateur doit faire preuve d’une détermination particulière pour accéder aux informations sur ces questions ».

Elle préconise donc le recours à un document unique distinct des conditions générales.

Cela rejoint la position du G29, présentée dans ses lignes directrices sur la transparence[1] (adoptées le 29 novembre 2017, et révisées le 11 avril 2018), selon lesquelles « la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder. »

Le considérant 61 du RGPD précise, quant à lui : « les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle. »

Enfin, le responsable de traitement est à nouveau rappelé à l’ordre lorsque le bulletin papier d’adhésion au programme de fidélité ne contient que quelques mentions essentielles et procède par renvoi à la page d’accueil d’un site sans autres précisions. La formation restreinte relève que ce bulletin papier aurait dû contenir, a minima, l’adresse URL à laquelle ces informations étaient accessibles.

Le message est ainsi clair. Ces différentes pratiques tendant à dissuader la personne concernée d’accéder à la politique de confidentialité ou à détourner son attention sont prohibées, comme étant contraires aux exigences de la réglementation que la CNIL prend soin de rappeler.

La formation restreinte de la CNIL encourage alors le recours à un document unique traitant de la politique de confidentialité distinct de mentions d’information d’ordre plus général, accessible via un seul onglet sur un site et correctement identifié. Elle précise que « l’information doit être présentée de manière efficace et succincte afin d’éviter de noyer l’information à délivrer parmi d’autres contenus informatifs. »

Quant à la délivrance d’une information en plusieurs niveaux, la CNIL n’y est pas farouchement opposée. Elle précise que cela n’est pas interdit. Toutefois, elle ne peut recommander ces pratiques dès lors qu’un tel procédé présente souvent l’inconvénient de diluer l’information et peut la rendre plus difficile à trouver. Le risque de non-conformité est donc plus élevé dans ces hypothèses. Elle fait siennes les préconisations du G29 selon lesquelles : « le premier niveau/ la première modalité inclut les détails de la finalité du traitement, l’identité du responsable du traitement et une description des droits des personnes concernées. » Ainsi, une information sera délivrée de manière conforme dans ces conditions, sous réserve que le premier niveau d’information fournisse les caractéristiques essentielles du traitement, et que le second niveau soit, quant à lui, exhaustif conformément aux dispositions de l’article 13 du RGPD.

La CNIL, à la faveur de ces deux décisions de sanction, fixe le cadre dans lequel une information est conforme au critère d’accessibilité imposé par le RGPD.

b) Des mentions intelligibles

La CNIL rappelle que l’information doit être délivrée en « termes clairs et simples » de telle sorte qu’elle soit intelligible.

Il est, à cet égard, intéressant de se reporter à la décision elle-même (SAN 2020-008- points 75 à 77) pour se convaincre de ce qu’une simple relecture des mentions d’informations aurait sans doute permis à un rédacteur, un minimum consciencieux et diligent, soit de ne pas les publier, soit de les ré-écrire, avant que de faire l’objet d’une procédure de sanction par l’autorité de contrôle.

L’on ne résiste donc pas à la tentation de citer quelques passages de ces mentions, dont les formulations sont ambigües, peu claires, inutilement compliquées et imprécises, de telle sorte qu’elles ne permettent pas aux personnes d’appréhender pleinement les traitements mis en œuvre, ni leurs finalités, ni les droits dont elles disposent :

« ces traitements incluent notamment , pour l’une ou plusieurs des raisons suivantes »ou « vos données sont susceptibles d’être utilisées »

« vous disposez également d’un droit d’obtenir la limitation d’un traitement et d’un droit à la portabilité des données que vous avez pu fournir, qui trouveront à s’appliquer dans certains cas ».

« nous pouvons éventuellement disposer de données de l’open Data »

« vos données pourront faire l’objet d’un traitement pour l’une ou plusieurs des raisons suivantes »

« vous pouvez demander à exercer votre droit d’opposition pour motif pour des raisons tenant à votre situation particulière, à un traitement de données personnelles vous concernant lorsque le traitement est fondé sur l’intérêt légitime du responsable de traitement y compris le profilage »

« vos données pourront peut-être transmises à tout ou partie des destinataires suivantes : […] les marques partenaires, mais dans ce cas ces derniers n’ont pas accès ni directement ni indirectement aux données vous concernant et seuls [sic] des données liées à votre profil sans qu’il soit possible de vous identifier directement ou indirectement, aux sociétés du groupe Carrefour pour les finalités susvisées ».

Un joyeux florilège de mentions d’information à la faveur desquelles, compte tenu de la sémantique, du recours systématique au terme « notamment » et de la disposition parfois hasardeuse des termes juridiques, il est impossible même pour un lecteur averti, de comprendre la portée du traitement, d’identifier les droits des personnes concernées, ou encore des moyens de les mettre en œuvre.

Or, la CNIL insiste sur l’impérieuse nécessité de soigner la rédaction des mentions d’information en application des articles 12 et suivants du RGPD. En effet, il convient de rappeler à tous les responsables de traitement qu’une information délivrée de manière conforme aux exigences de la réglementation, c’est-à-dire accessible et compréhensible, conditionne la validité de l’engagement des personnes concernées, et donc la licéité du traitement.

L’on ne peut donc qu’inviter les responsables de traitement à apporter un soin particulier à la rédaction de leurs mentions d’information, à commencer par s’assurer qu’elles sont compréhensibles ! Et parfois, le simple bon sens suffit. Pour mémoire, les articles 12 et 13 précités imposent que les informations fournies soient complètes mais aussi aisément compréhensibles. Naturellement, l’exercice de rédaction peut s’avérer plus périlleux puisque, alors même que les finalités poursuivies et les durées de conservations des données traitées sont nombreuses et différentes. L’on ne saurait trop conseiller d’avoir recours à un professionnel.

II.  Sur le contenu de l’information

La CNIL, à la faveur de ces deux décisions de sanction, rappelle également que l’information doit être complète, et contenir l’ensemble des mentions visées aux articles 13 et 14 du RGPD, selon que la collecte se fait directement auprès de la concernée ou indirectement.

Or tel n’était pas le cas dans les deux espèces, les mentions d’information étant lacunaires et imprécises.

Ces dispositions imposent l’identification du responsable de traitement, lequel n’est pas le sous-traitant, ni un simple destinataire. Les hypothèses de co-responsabilité ou de responsables conjoints peuvent parfois créer des difficultés d’identification. Une analyse circonstanciée de la situation juridique doit alors s’opérer in concreto.

La base juridique doit être indiquée de manière précise. Les sociétés ne pouvaient se contenter de viser de manière générale chacune des bases légales de l’article 6 du RGPD, telles que l’exécution du contrat, le consentement ou encore l’intérêt légitime. La réglementation impose que les personnes soient informées de la base légale spécifique applicable à chacun des traitements mis en œuvre par le responsable de traitement.

Les éventuels transferts de données en dehors de l’Union européenne doivent être portés à la connaissance de la personne concernée, ainsi que l’ensemble des garanties encadrant ledit transfert. Tel n’était pas le cas dans ces deux affaires.

Enfin, la CNIL relève que les personnes concernées n’étaient pas informées, pour l’ensemble de leurs données de la durée de conservation. En effet, l’article 13.2 f du RGPD impose que les personnes soient informées de la durée de conservation des données ou des critères utilisés pour déterminer cette durée. Dans la décision n° SAN 2020-009, la formation restreinte prend soin de rappeler les préconisations du G29 qui recommande que « la durée de conservation [soit] formulée de manière à ce que la personne concernée puisse évaluer, selon la situation dans laquelle elle se trouve, quelle sera la période de conservation s’agissant de données spécifiques ou en cas de finalités spécifiques. Le responsable du traitement ne peut se contenter de déclarer de façon générale que les données à caractère personnel seront conservées aussi longtemps que la finalité légitime du traitement l’exige. Le cas échéant, différentes périodes de stockage devraient être mentionnées pour les différentes catégories de données à caractère personnel et/ou les différentes finalités de traitement, notamment les périodes à des fins archivistiques. »

L’emploi de formules vagues telles « les délais de prescription légale applicable » ou « la conservation de vos données varie selon les réglementations et loi applicables » est donc non-conforme aux exigences de transparence imposées par le RGPD.

Il appartenait aux sociétés contrôlées de prévoir dans leurs mentions d’information les différentes durées de conservation pour l’ensemble des données ou des finalités, notamment s’agissant des données de navigation ou des données relatives aux achats effectués.

En conséquence, et pour toutes les raisons sus-évoquées, la CNIL a constaté que les sociétés du groupe CARREFOUR avaient manqué à l’obligation d’information incombant à tout responsable de traitement en application de l’article 13 du RGPD, laquelle doit être transparente, compréhensible et aisément accessible.

En application des articles 82 et 83 du RGPD, il était loisible à la CNIL de prononcer à l’encontre des sociétés poursuivies des injonctions ou mises en demeure d’avoir à se conformer à la réglementation, et d’avoir à en justifier dans un certain délai.

Toutefois, dans ces deux affaires, l’autorité de contrôle, eu égard aux efforts mis en œuvre par les responsables de traitement au cours de l’instruction lesquels étaient en conformité à la date du dernier contrôle, a considéré qu’une injonction ne se justifiait pas. Elle a d’ailleurs pris soin de relever l’important travail de mise en conformité fourni par les sociétés, s’agissant des mentions d’information présentes sur les différents supports. L’information désormais délivrée par les sociétés du groupe était transparente, aisément accessible, et complète à la date à laquelle la formation restreinte a statué.

Cependant, eu égard au nombre de manquements constatés et caractérisés nés d’un défaut d’anticipation des conséquences de l’entrée en application du RGPD, et eu égard au nombre de personnes concernées dont les droits n’ont pas été respectés, la CNIL n’a eu d’autre choix que de condamner les responsables de traitement à de lourdes amendes administratives. Il sera cependant observé que les montants proposés par le rapporteur (ignorés) ont été atténués par la formation restreinte, compte tenu du degré de coopération des sociétés avec la CNIL, et des efforts importants engagés pendant l’instruction pour atteindre une conformité totale puisque l’ensemble des manquements ont été corrigés.

La CNIL a pris en compte le chiffre d’affaires réalisé par la Société CARREFOUR France et par les filiales qu’elle détient et qui ont bénéficié des traitements, appréciation extensive de la notion d’entreprise conforme aux articles 101 et 102 du TFUE. Elle a donc estimé qu’une amende d’un montant de 2 250 000 € était justifiée et proportionnée aux manquements relevés et à la situation de la société CARREFOUR France, compte tenu des spécificités du modèle économique de la grande distribution caractérisé par un chiffre d’affaires élevé au regard des résultats nets dégagés par l’activité dont les marges sont faibles.

Ces décisions révèlent des indices précieux d’une information conforme au sens du RGPD, dont il faut tenir compte au moment de leur rédaction. Elles ont également le mérite de rappeler que tous les secteurs sont concernés par le RGPD…

[1] https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf

 

Stéphane BAÏKOFF

Avocate Associée

(Article paru dans la Revue Expertises – Janvier 2021 n°464 pages 28 à 31)

ACTUALITES DROIT SOCIAL

Les jurisprudences récentes en droit du travail et de la sécurité sociale sous forme d’infographie. En quelques lignes, les derniers arrêts marquants sont décryptés pour vous (forfait annuel en jours, CSE, procédure vexatoire, contrôle URSSAF…).

 

Anouck SUBERBIELLE

Avocate Associée 

Arrivée d’Anouck SUBERBIELLE nouvelle associée qui pilotera le pôle Droit Social

Du nouveau chez KACERTIS AVOCATS !

Kacertis Avocats étoffe ses compétences en intégrant désormais un pôle Droit Social.

La cabinet est ravi d’annoncer l’arrivée d’une nouvelle avocate associée, Anouck Suberbielle pour piloter ce pôle.

Forte de son expérience de 7 ans au sein d’un cabinet de dimension nationale, Anouck est titulaire de la spécialisation en droit du travail. Elle vous accompagnera en conseil et en contentieux avec humanité, agilité et engagement.

N’hésitez pas à la contacter :

@ a.suberbielle@kacertis.com

07.86.35.36.73

Kacertis Avocats en 2021 c’est 5 Avocats associés, 2 avocats collaborateurs, 1 juriste, 1 assistante juridique et 1 avocat partenaire spécialiste en droit public, à votre écoute.

 

 

MEILLEURS VOEUX 2021

KACERTIS AVOCATS vous souhaite une très belle année 2021.

Désireux d’aller de l’avant après une année 2020 si particulière, le cabinet continue sa stratégie de développement :

  • Une nouvelle adresse : nos nouveaux locaux sont désormais situés 46, rue Félix Faure, 44000 NANTES. L’équipe s’agrandit !
  • L’arrivée de @Noémie Planelles en qualité de juriste en droit des sociétés.
  • Un partenariat avec @Maître Thomas GIROUD, avocat spécialiste en droit public.

Et bien plus encore prochainement, stay tuned !

#avocats #affaires #voeux #nantes

 

 

CJUE 6 octobre 2020, affaires C511/18, C512/18 et C520/18

Cabinet Avocats Nantes Kacertis Avocats RGPD

CJUE 6 octobre 2020, affaires C511/18, C512/18 et C520/18

Nouvelle décision de la CJUE relative à l’accès et à la conservation de données de connexion et de localisation dans le cadre de la lutte contre la criminalité : mise en balance du droit au respect de la vie privée et de la sécurité publique, des intérêts inconciliables ?

Aujourd’hui, la lutte contre la criminalité ne peut se faire sans l’utilisation de données collectées dans l’environnement numérique. En effet, ces organisations tendent à se « professionnaliser » et utilisent les moyens numériques pour recruter, préparer, diriger et accomplir des actes criminels (pédopornographie, criminalité en bande organisée, terrorisme). Les enquêteurs judiciaires et services de renseignement se sont donc adaptés à ces nouvelles pratiques, et usent des mêmes voies pour traquer et identifier les auteurs d’infractions. Les données de connexion et de localisation sont de plus en plus utilisées à des fins d’investigation et de preuve devant les juridictions pénales, et deviennent indispensables pour identifier les auteurs en raison de l’anonymat généralisé dans cet environnement.

C’est dans ce contexte que la Cour de justice de l’Union européenne rappelle, dans un arrêt récent en date du 6 octobre 2020, que, par principe, la collecte de données de connexion et de trafic sur les réseaux de communication électroniques est interdite, lorsqu’elle s’effectue de manière généralisée et indifférenciée. La Cour vient cependant préciser les contours des exceptions à ce principe, et les conditions dans lesquelles une législation nationale peut imposer aux fournisseurs et opérateurs de conserver lesdites données notamment à des fins de sécurité nationale.

Il sera d’ores et déjà précisé qu’on entend par « données de connexion », toutes les données qui se rattachent à une activité numérique, en dehors du contenu même du message lui-même. Ces données sont en lien avec le qui ? quand ? comment ? de la communication. Il s’agit des métadonnées, et données de localisation : identité, localisation de l’auteur et du destinataire des communications, date d’envoi, durée de la communication, matériel utilisé, numéro de téléphone, adresse IP.

Cette décision est d’autant plus remarquable qu’elle amène la CJUE à examiner notamment le régime français de conservation des données de connexion par les opérateurs de communication électronique à des fins de renseignement et de police judiciaire.

En effet, la Quadrature du Net, French Data network, la fédération des fournisseurs d’accès à Internet et Igwan.net (associations de défense des libertés des utilisateurs de services de communications électroniques) ont saisi le Conseil d’Etat (en France) par voie de requêtes en date des 1er septembre et 30 novembre 2015, et du 16 mars 2016 tendant notamment à l’annulation de la réglementation française comme étant contraire notamment aux dispositions de l’article 15 de la Directive 2002/58 dite Directive ePrivacy.

Et c’est le Conseil d’Etat qui a saisi la Cour de Justice de l’Union européenne de questions préjudicielles.

Ces associations de défense militent activement pour la liberté et le respect de la vie privée sur Internet, et considèrent que les décrets pris en application de la Loi renseignement n°2015-912 du 24 juillet 2015 sont contraires au droit de l’Union Européenne et à la Charte des droits fondamentaux de l’Union européenne 2000/ C 364/ 01 adoptée le 7 décembre 2000.

Les développements de la Cour en lien avec la législation belge ne seront donc pas l’objet du présent commentaire.

A la faveur de cet arrêt fleuve (65 pages), la CJUE ré-affirme la position de principe qu’elle avait déjà adoptée, dans son arrêt Télé2 (CJUE, 21 décembre 2016, C-203/15 et C-698/15) et à la faveur duquel elle avait jugé qu’était contraire au droit européen « une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

A nouveau, elle confirme que des dispositions nationales ne peuvent pas imposer aux fournisseurs de services de communications électroniques une obligation de conservation généralisée et indifférenciée des données relatives au trafic et à la localisation, à titre préventif. En effet, l’article 15 alinéa 1 de la Directive ePrivacy s’oppose à de telles pratiques, trop attentatoires à la vie privée des utilisateurs de ses services. Toutefois, elle considère que l’article 15 précité ne s’oppose pas à ce que les Etats-membres puissent adopter des mesures législatives faisant exception au principe ainsi rappelé, dans des circonstances particulières tirées de la sauvegarde de la sécurité nationale, et entourées de garanties suffisantes dans le respect du principe de proportionnalité, fixé à l’article 52 de la Charte des droits fondamentaux de l’union européenne.

Le contrôle de proportionnalité opéré par la Cour de Justice porte sur le droit au respect de la vie privée et l’objectif de sécurité nationale poursuivi par les Etats-membres.

La Cour de Justice de l’Union Européenne, saisie par le tribunal chargé des pouvoirs d’enquêtes au Royaume-Uni (Investigatory Powers Tribunal) a rendu un second arrêt le même jour, dans une affaire C-623/17, prise au regard de la réglementation anglaise et portant sur la même question.

La présente étude portera uniquement sur les 2 premières questions posées à la Cour de justice dans l’affaire C-511/18 et C-512/18[1], relevant de l’interprétation de l’article 15 alinéa 1 de la Directive 2002/58 du 12 juillet 2002.

A titre liminaire, quelques remarques s’imposent :

  • Sur l’état du droit en France (i)
  • Quant à la nature des données concernées (ii)
  • Quant à l’application de la directive 2002/58 (iii)

i)  Le droit positif en France

Le droit français[2], en l’état, impose aux fournisseurs de services de communications électroniques et aux hébergeurs de conserver les données relatives au trafic, les informations permettant d’identifier les utilisateurs, celles relatives aux équipements utilisés et les données de localisation, pendant une durée d’un an à compter de leur enregistrement.

L’accès à ces données est strictement limité aux autorités judiciaires, et services de renseignements, et contrôlé par la Commission Nationale de Contrôle des Techniques de Renseignement. En outre, ces données doivent être conservées dans le respect de la réglementation applicable aux traitements de données à caractère personnel.

En outre, le Code de la sécurité intérieure[3] a consacré l’utilisation de « boîtes noires » par les services de renseignements dans le strict cadre de la lutte contre le terrorisme, mettant en œuvre des systèmes de traitements automatisés (algorithme) fonctionnant par mots-clés susceptibles de détecter des connexions pouvant révéler une éventuelle menace en lien avec une activité terroriste.

ii)  Quant à la nature des données

La Cour a pris soin de rappeler que les données objet des réglementations contestées étaient les suivantes :

« en particulier, celles qui sont nécessaires pour retrouver la source d’une communication et la destination de celle-ci, déterminer la date, l’heure, la durée et le type de la communication, identifier le matériel de communication utilisé ainsi que localiser les équipements terminaux et les communications, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’utilisateur, les numéros de téléphone de l’appelant et de l’appelé ainsi que l’adresse IP pour les services internet » (pt 82)

Les données relatives au contenu même des communications sont donc exclues du champ des réglementations examinées par la Cour.

Pour mémoire, la confidentialité de ces contenus est prévue et garantie par l’article 5 de la Directive ePrivacy [4].

iii)  Quant à l’application de la Directive ePrivacy

Une fois la nature des données concernée, s’est posée la question de l’application de la Directive 2002/58 aux réglementations nationales permettant la conservation de ces données, et dont la finalité est la sauvegarde de la sécurité nationale.

En effet, le gouvernement français a fait valoir que les activités des services de renseignements nationaux concourant au maintien de l’ordre public et à la sécurité intérieure relèveraient des compétences réservées des Etats-membres, en application de l’article 4 du Traité sur l’Union Européenne qui prévoit :

    1. Conformément à l’article 5, toute compétence non attribuée à l’Union dans les traités appartient aux États membres.
    2. L’Union respecte l’égalité des États membres devant les traités ainsi que leur identité nationale, inhérente à leurs structures fondamentales politiques et constitutionnelles, y compris en ce qui concerne l’autonomie locale et régionale. Elle respecte les fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer son intégrité territoriale, de maintenir l’ordre public et de sauvegarder la sécurité nationale. En particulier, la sécurité nationale reste de la seule responsabilité de chaque État membre.

Le gouvernement français tentait ainsi d’échapper au droit de l’Union européenne et au contrôle de la Cour de Justice de l’Union européenne, en arguant de ce que les questions sécuritaires relevaient des fonctions essentielles des Etats-membres en application de l’alinéa 2 précité.

Toutefois, la Cour de justice n’a pas fait droit à l’argumentation soutenue, et a jugé :

« bien qu’il appartienne aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure, le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union ».

En conséquence, la CJUE retient qu’ « une réglementation nationale imposant aux fournisseurs de services de communications électroniques de conserver les données relatives au trafic et des données de localisation aux fins de la protection de la sécurité nationale et de la lutte contre la criminalité, telle que celles en cause en principal, relève du champ d’application de la directive 2002/58. ».

La compétence est donc communautaire en la matière, et il appartient aux législations nationales de s’y conformer.

Reste à interpréter les règles imposées par le droit communautaire, tache assignée à la Cour de justice de l’Union Européenne.

Le Conseil d’Etat a, à la faveur de la première question préjudicielle, interrogé la Cour sur le point de savoir si l’article 15 alinéa 1 de la directive 2002/58 s’oppose à une réglementation nationale imposant aux fournisseurs de services de communication électroniques, à des fins prévues à cet article 15 et notamment à des fins de sécurité publique (lutte contre le terrorisme), une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

L’article 15 de la Directive ePrivacy est le suivant :

« 1. Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne.

2. Les dispositions du chapitre III de la directive 95/46/CE relatif aux recours juridictionnels, à la responsabilité et aux sanctions sont applicables aux dispositions nationales adoptées en application de la présente directive ainsi qu’aux droits individuels résultant de la présente directive. »

La CJUE s’est donc prononcée sur l’interprétation de l’article 15 de la Directive ePrivacy, et sa portée (I), et examiné les dispositions nationales prévoyant la mise en place de mesures de conservation à titre préventif, au regard des principes dégagés (II et III).

I.     Sur l’interprétation de l’article 15, paragraphe 1 de la Directive (ou de l’exercice périlleux de la conciliation des intérêts divergents)

La Cour rappelle au point 105 que « il est de jurisprudence constante que, afin d’interpréter une disposition du droit de l’Union, il convient non seulement de se référer aux termes de celle-ci, mais également de tenir compte de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie ainsi que de prendre en considération, notamment, la genèse de cette réglementation. »

La méthodologie est claire : revenir à l’esprit du texte.

La Directive ePrivacy a été adoptée afin de protéger les données personnelles des utilisateurs de services de communications électroniques et leur vie privée, eu égard aux capacités accrues de stockage et de traitement automatisé de données de l’environnement numérique.

L’objectif poursuivi par ladite Directive est le respect des droits garantis par la Charte des droits fondamentaux de l’Union européenne et consacrés à ses articles 7 (droit au respect de la vie privée et familiale) et 8 (protection des données à caractère personnel).

Ainsi, l’article 5 de la directive consacre le principe de confidentialité des communications électroniques et des données de trafic, outre l’interdiction de stocker par toute autre personne que l’utilisateur, sans le consentement de ce dernier, ses communications et données.

La Cour se fonde ensuite sur l’article 6 de la directive qui permet le traitement et le stockage des données de trafic par les fournisseurs de service de communications électroniques, le temps nécessaire à la commercialisation des services et leur facturation. Au-delà, lesdites données doivent être effacées ou anonymisées.

Quant aux données de localisation, l’article 9 de la directive ne prévoit leur traitement que sous certaines conditions, et sous réserve d’être anonymisées ou d’avoir reçu le consentement de la personne concernée.

La Cour rappelle donc (pt 109) :

« […] le législateur de l’Union a concrétisé les droits consacrés aux articles 7 et 8 de la Charte de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement ».

Les principes étant rappelés, la Cour considère, compte tenu de la rédaction de l’article 15 paragraphe 1 précité et de l’esprit même de la directive ePrivacy, que les Etats-membres ont la possibilité d’introduire des exceptions aux principes sus-définis lorsque :

« […] une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques. A cette fin, les Etats-membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation des données pendant une durée limitée lorsque cela est justifié par l’un de ces motifs. » (pt 110)

En conséquence, la Cour de juger que l’article 15 alinéa 1 de la directive, lu à la lumière des articles 7, 8, 11 et 52 de la Charte des droits fondamentaux de l’Union européenne, ne s’oppose pas à ce qu’une mesure législative puisse porter atteinte à ces principes, par exception.

Toutefois, elle rappelle avec force que ces atteintes doivent rester exceptionnelles, et ne peuvent devenir la règle (pt 111) ; et que cette exception doit être interprétée strictement et s’appliquer dans le respect du sacro-saint principe de proportionnalité.

Au regard de tout ce qui précède, la Cour à juste titre, précise que :

« la conservation des données relatives au trafic et des données de localisation constitue, par elle-même, d’une part, une dérogation à l’interdiction prévue à l’article 5 de la directive […], et d’autre part une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. » (pt 115)

La Cour considère à cet égard qu’il n’y pas lieu de distinguer selon que les données sont sensibles ou non, selon qu’il existe un préjudice ou non pour la personne concernée, selon qu’elles aient été effectivement utilisées ou non. La seule conservation de ces données de connexion, de trafic et de localisation par les fournisseurs de services constitue, selon la Cour, une atteinte aux droits susvisés, et comporte des risques d’abus et d’accès illicite. Elle doit donc rester exceptionnelle.

Elle prend soin également de préciser que les droits prévus par la Charte ne sont pas absolus, en application de son article 52[5], et que ces droits individuels consacrés aux articles 7 (vie privée), 8 (respect des données personnelles) et 11 (liberté d’expression) de la Charte doivent être mis en balance avec le droit à la sûreté et les objectifs de sécurité nationale et de lutte contre la criminalité grave qui incombent aux Etats afin de protéger les libertés et la sécurité/ la sûreté individuelles.

En effet, l’article 6 de la Charte consacre le droit de toute personne à la liberté mais encore à la sûreté.

La Cour précise qu’il convient donc de « procéder à une conciliation nécessaire des différents intérêts et droits en cause. » (pt 127)

Ainsi, toute mesure tendant à limiter la portée des droits prévus aux articles 5, 6 et 9 de la Directive ePrivacy est interdite si elle se fait de manière indifférenciée et systématique, mais devient possible, sous réserve que :

  • Elle soit prévue par la loi ;
  • La disposition législative réponde à un objectif précis de sécurité nationale, lutte contre la criminalité ou le terrorisme,
  • La limitation des droits se fasse dans le respect du principe de proportionnalité, c’est-à-dire que la mesure soit « rigoureusement » proportionnée au but poursuivi (pt 129)
  • Les droits garantis par la Charte (articles 7,8,11) soient respectés. Cela suppose des règles claires et précises quant à la portée de la limitation, et des garanties suffisantes permettant de limiter les risques d’abus.

Le principe supporte donc des exceptions.

II.    Sur les mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la sauvegarde nationale (pt 134 à 139)

C’est la première fois que la Cour de justice a été amenée à examiner et interpréter les dispositions de la directive ePrivacy au regard de l’objectif de sauvegarde de la sécurité nationale.

Elle relève que cet objectif de sécurité nationale est de la responsabilité de chaque Etat-membre, comme étant une fonction essentielle de l’Etat, qui inclut, afin de préserver les intérêts de la société : « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel, telles que notamment des activités de terrorisme. » (pt 135)

La Cour considère que cet objectif de sécurité nationale prime les autres objectifs visés à l’article 15 paragraphe 1 de la directive, et notamment les objectifs de lutte contre la criminalité même grave, et la sauvegarde de la sécurité publique. De telle sorte qu’elle admet que l’objectif de sauvegarde de la sécurité nationale est susceptible de justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles pourraient justifier les autres objectifs.

Ainsi, dans des situations répondant à l’objectif de sauvegarde nationale poursuivi, l’article 15 paragraphe 1 ne s’oppose pas, par exception, à ce que les données de trafic et de localisation de l’ensemble des utilisateurs soient conservées de manière indifférenciée par les fournisseurs de services de communications électroniques.

Les conditions fixées par la Cour, pour que la mise en œuvre d’un tel traitement soit valable, sont les suivantes :

  • Une injonction délivrée par les autorités compétentes aux fournisseurs :
  • Conservation de ces données pendant une durée limitée, renouvelable le cas échéant en cas de persistance de la menace,
  • L’existence de circonstances concrètes permettant de considérer que l’Etat membre fait face à une menace grave, réelle, actuelle ou prévisible mettant en péril la sauvegarde de la sécurité nationale ;

C’est l’existence même d’une telle menace qui légitime la conservation de manière indifférenciée des données des utilisateurs, sans qu’il y ait lieu d’établir de rapport entre la menace identifiée et les utilisateurs concernés.

Enfin, une telle conservation généralisée et indifférenciée de données à titre préventif, doit être encadrée par des garanties strictes.

La Cour considère que l’injonction prise par l’autorité compétente doit pouvoir faire l’objet d’un contrôle effectif par une juridiction ou une autorité administrative indépendante, dont la décision a un effet contraignant.

Et ce recours doit avoir pour objet de vérifier le respect des conditions de fond et de forme de la mesure objet de l’injonction.

La Cour fixe ainsi le cadre strict que les Etats-membres doivent respecter pour mettre en place, à titre préventif, des mesures de conservation de données de connexion, de localisation et de trafic de manière indifférenciée et généralisée, puisque par principe « à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation » est contraire à la réglementation européenne.

La Cour confirme donc la position adoptée en 2016, dans l’arrêt Télé2, à la faveur de laquelle elle avait jugé qu’était contraire au droit européen « une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

Elle affine, dans cet arrêt, le cadre des exceptions à ce principe.

III.    Sur les mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de lutte contre la criminalité et de la sauvegarde de la sécurité publique (pt 140 à 151)

L’article 15 paragraphe 1 de la directive ePrivacy vise d’autres objectifs de prévention, de recherche, de détection et de poursuite d’infractions pénales.

Cependant, et eu égard au principe de proportionnalité, seules la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique (à l’exclusion des autres objectifs) sont de nature à justifier des atteintes au respect la vie privée et à la protection des données personnelles, telles que celles qu’implique la conservation de données de trafic et des données de localisation.

La poursuite de ces objectifs de criminalité grave, dont on ignore les contours (…), et de menaces graves contre la sécurité publique (pas plus définies) ne saurait toutefois justifier une conservation systématique et continue des données de trafic et de localisation, qui excèderait les limites du strict nécessaire.

La Cour hiérarchise les intérêts publics et collectifs poursuivis par les Etats-membres, dont le degré d’importance justifie le degré d’ingérence dans les droits fondamentaux.

La Cour précise que le principe de proportionnalité serait respecté par une mesure permettant, « à titre préventif, une conservation ciblée des données relatives au trafic et des données de localisation » dans le cadre de la lutte contre la criminalité grave, sous réserve qu’elle soit limitée au strict nécessaire s’agissant :

  • Des catégories de données à conserver ;
  • Des moyens de communication visés ;
  • Des personnes concernées ;
  • De la durée de conservation.

Quant à la délimitation des personnes concernées, elle doit se faire à partir de critères objectifs permettant de viser des personnes considérées comme présentant une menace pour la sécurité ou susceptibles d’avoir un lien avec des actes de criminalité grave ou de prévenir un risque grave pour la sécurité publique.

Une délimitation peut également, au sens de la décision, être fondée sur un critère géographique déterminé à partir d’éléments objectifs et non-discriminatoires laissant présager un risque élevé de préparation ou de commission d’actes de criminalité grave, ou encore des lieux stratégiques tels que gare ou aéroport.

Si le raisonnement se tient sur le plan juridique, il est évident que la mise en œuvre de tels critères se heurtera à d’importantes difficultés pratiques : où commence la criminalité grave ? qu’est-ce qu’une zone particulièrement exposée à la commission d’actes de criminalité grave ?

Autant de questions auxquelles les législateurs nationaux devront répondre.

Toutefois, la Cour de justice prévoit une gradation, et seule une conservation ciblée des données est autorisée dans l’hypothèse de criminalité grave ou de risque grave pour la sécurité publique. Ces objectifs ne pourront donc pas justifier de conservation indifférenciée.

La Cour de Justice de l’union européenne dans cette première affaire s’intéresse également au sort des adresses IP et données relatives à l’identité civile aux fins de lutte contre criminalité et la sauvegarde de l’utilité publique (question non commentée ici).

En conclusion.

Cette décision divisera sans nul doute.

D’un côté, les fervents défenseurs des droits et libertés des utilisateurs de communications électroniques, et de l’autre, les responsables de la sécurité publique en charge de la lutte contre la criminalité organisée et le terrorisme qui militent pour une conservation généralisée et préalable des données à titre préventif.

La Quadrature du net dans un communiqué de presse[6] publié le 6 octobre 2020 intitulé « Surveillance : une défaite victorieuse » s’exprimait ainsi :

« Le droit français se retrouve ainsi en contradiction flagrante avec la décision de la CJUE : le principe de conservation généralisée est refusé par la Cour alors qu’il est la règle en droit français. La Cour acte que les mécanismes français de contrôle des services de renseignement ne sont pas suffisants, et nous veillerons lors de la réforme annoncée du droit français à ce que les garde-fous nécessaires soient renforcés. »

L’association se réjouit que cet arrêt mette un coup d’arrêt à la surveillance de masse mise en œuvre par la législation française dont elle dénonçait l’illégalité à la faveur de la saisine du Conseil d’état.

Cette position est donc plus protectrice et respectueuse de la vie privée.

L’avocat de l’association pourra se féliciter, dès lors qu’il déclarait début 2020 :

 « Qu’il puisse y avoir une surveillance ciblée de personnes dangereuses ou soupçonnées de l’être, c’est une chose […] Mais conserver toutes les traces de connexion de manière indifférenciée pendant des périodes aussi longues, c’est de la surveillance de masse, contraire à l’État de droit ».

Toutefois, la Quadrature du net a également manifesté sa déception considérant que si le principe d’interdiction de conservation généralisée des données de trafic et de connexion est donc confirmé, il n’en demeure pas moins que de nombreuses exceptions persistent, susceptibles de dégénérer en abus selon elle.

La voix de des magistrats du parquet s’est fait entendre sur le sujet par l’intermédiaire de Monsieur François MOLINS, à la tête du Parquet de Paris pendant 7 ans en matière d’anti-terrorisme et de lutte contre la criminalité organisée. Il s’était exrpimé le 3 avril 2019 à l’occasion d’une conférence organisée par la Fondation Robert Schuman et l’Institut Max Planck[7], ayant pour thème : « La protection des citoyens européens dans un monde ultra-connecté ».

Il avait alors fait part de son inquiétude quant à la position de la Cour de Justice de l’Union Européenne sur la problématique de conservation des données de trafic et de localisation dans les communications électroniques, et de son arrêt Télé 2 (CJUE, 21 déc.2016, C-203/15 et C-698/15).

En effet, il avait notamment alerté sur le fait que ces décisions si elles étaient juridiquement compréhensibles, étaient totalement déconnectées de la réalité du terrain dans la mesure où il soutenait que « La conservation des données et un accès contrôlé mais fluide apparaissent ainsi désormais comme le préalable au succès des investigations de droit commun, en criminalité organisée et bien sûr en terrorisme. »

Il soulignait également que la confirmation de la position de la CJUE fixée dans l’arrêt Télé2 et une interprétation stricte de cette position adoptée par les législations nationales seraient susceptibles de porter un coup d’arrêt à des enquêtes pénales actuellement en cours, et que la nullité subséquente de certains actes de procédure pourrait avoir des conséquences irréversibles sur ces investigations.

Monsieur MOLINS, pendant son interlocution, avait résumé la problématique ainsi :

« Le choix juridique qui s’impose à nos démocraties ne doit pas être protection de la vie privée versus arrestation des criminels et des terroristes. Le choix juridique doit être celui de la protection de la vie privée par la garantie d’un accès juridictionnellement encadré aux données conservées. La prévention des atteintes à l’ordre public est en effet nécessaire à la sauvegarde des droits et à l’exercice des libertés de nos concitoyens. »

Cela semble être le souci de la Cour également, tel que cela ressort de la décision.

Toutefois, les magistrats du parquet verront-ils d’un bon œil le principe réaffirmé de l’interdiction de la conservation indifférenciée des données de localisation à titre préventif, arme indispensable selon Monsieur MOLINS, et la mise en œuvre des exceptions.

En toute hypothèse et quelles que soient les divergences de points de vue, il convient désormais d’attendre la décision du Conseil d’Etat prise sur le fondement de l’arrêt de la CJUE en date du 6 octobre 2020 qui se prononcera sur la légalité des textes soumis au regard de cette nouvelle interprétation de l’article 15 paragraphe 1 de la Directive ePrivacy, et aura donc à examiner les garanties présentées par le droit français afin de déterminer si elles sont suffisantes au regard des exigences posées par la Cour de justice.

[1] Jusqu’au point 151 de l’arrêt du 6 octobre 2020, qui en comporte 229

[2] Article L.34-1 CPCE et article R.10-13 CPCE ; art.6II Loi n°2004-575

[3] Article L.851-3 CSI

[4] Confidentialité des communications ; 1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. Le présent paragraphe n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité.

[5] « 1. Toute limitation à l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui. »

[6] https://www.zdnet.fr/actualites/donnees-de-connexion-la-cjue-veut-ramener-la-france-dans-le-giron-europeen-39910799.htm

[7] https://www.robert-schuman.eu/fr/questions-d-europe/0510-la-protection-des-citoyens-europeens-dans-un-monde-ultra-connecte

Stéphane BAIKOFF 

Avocate Associée

Article paru dans la revue Expertises – Décembre 2020

Salon de la DATA 15 Décembre 2020

Pour la quatrième année consécutive, Stéphane BAÏKOFF interviendra au Salon de la Data, formule 100% digitale, le 15 décembre 2020

Elle animera à 9h une conférence dont le thème est « Une base de données est un oignon juridique : comment l’éplucher sans pleurer ? »

Les bases de données sont composées de plusieurs « couches » juridiques, chacune avec un régime propre dont il faut savoir tenir compte pour les protéger, les exploiter, les distribuer etc.

Il s’agit en effet d’objets juridiques complexes pouvant mêler des problématiques liées aux droits d’auteur et logiciels, droits des producteurs de bases de données, réglementation en matière de données personnelles (RGPD & e-privacy) etc.

Une approche concrète et transverse de ces différents thèmes afin de vous aider à comprendre les enjeux et limiter les risques juridiques en lien avec l’exploitation des bases de données.

Les inscriptions se font en ligne.

Débute le 15 décembre à 09 h 00

Termine le 15 décembre à 10 h 00

Les principales mesures pour les entreprises du projet de loi de finances pour 2021

Le projet de loi de finances pour 2021 a été présenté en conseil des ministres le lundi 27 septembre et est en cours d’examen par la commission des finances de l’assemblée nationale.

Outre quelques mesures en matière de TVA et la suppression de taxes « à faible rendement », les principales mesures concernant les entreprises sont les suivantes :

1°) Non-imposition immédiate des écarts de réévaluation libre

Le projet de loi prévoit la possibilité pour les entreprises de ne pas prendre en compte immédiatement, pour la détermination du résultat imposable, l’écart de réévaluation constatée lors d’une réévaluation « libre ».

Une telle réévaluation consiste, lors d’un exercice donné, à procéder à la réévaluation de l’ensemble des immobilisations corporelles et financières.

Pour mémoire, la mise en œuvre d’une réévaluation libre :

  • Ne permet pas d’utiliser l’écart pour la détermination du résultat (L123-18 du code de commerce), mais est inscrit dans les capitaux propres et peut être incorporé au capital (article 350-1 du plan comptable général). Une telle opération peut donc permettre d’améliorer la présentation des comptes sociaux d’une entreprise dont les capitaux propres sont dégradés ;
  • Est possible pour l’ensemble des entreprises ou sociétés ayant l’obligation de tenir une comptabilité commerciale, ce qui inclut les sociétés civiles soumises aux règles des bénéfices industriels et commerciaux.

Conformément aux dispositions de l’article 238 bis JB nouveau, la mise en œuvre d’une réévaluation libre implique :

  • Le calcul des amortissements, provisions et plus-values d’après la valeur attribuée lors de la réévaluation,
  • La réintégration de l’écart aux bénéfices imposables sur une période de 15 ans pour les constructions et 5 ans pour les autres immobilisations,
  • L’imposition immédiate de l’écart de réévaluation afférent à un bien et non encore réintégré, en cas de cession du bien,
  • Le calcul des plus ou moins-value sur les biens non amortissables d’après leur valeur non réévaluée.

Cette mesure s’appliquerait à l’opération constatée au terme d’un exercice clos à compter du 31 décembre 2020 jusqu’au 31 décembre 2022.

2°) Etalement de l’imposition de la plus-value lors d’un lease-back de bien immobilier

Ce dispositif permettrait d’étaler, sur option, l’imposition de la plus-value de cession sur la durée du contrat de crédit-bail, sans que cette durée puisse excéder 15 ans, de façon à permettre aux entreprises d’améliorer leur trésorerie en recourant à des opérations de cession-bail.

Cette disposition s’appliquerait pour les opérations réalisées du 28 septembre 2020 au 31 décembre 2022.

Rappelons que cette opération consiste pour une entreprise à céder à un établissement bancaire un bien immobilier de façon à percevoir des liquidités immédiatement, un contrat de crédit-bail étant conclu concomitamment sur ce même bien.

) Baisse des impôts de production

1ère évolution : Le taux de la CVAE serait réduit de moitié pour toutes les entreprises redevables (taux fixe pour les entreprises réalisant un C.A supérieur à 50 m€ et variable pour les autres, cf ci-dessous).

2ème évolution : Le taux de plafonnement de la CET passerait à 2% au lieu de 3%.

Le montant minimum de la CVAE avant frais de gestion serait divisé par 2 (soit 125 euros).

3ème évolution : sur délibération motivée des collectivités concernées, l’exonération de CFE pourrait être prolongée à 3 ans en cas de création/extension d’établissements à compter de 2021.

4ème évolution : la valeur locative des établissements industriels (activités de fabrication ou de transformation de biens corporels nécessitant d’importants moyens techniques, hors entreprises artisanales et équipements indissociables des installations de stockage de déchets, à l’issue de leur phase d’exploitation) serait réduite de moitié à compter de 2021.

Les valeurs locatives augmenteraient ensuite chaque année en fonction d’un coefficient égal à la moyenne nationale des coefficients d’évolution départementaux des loyers.

4°) Suppression progressive de la majoration de 25% des bénéfices des entreprises qui n’adhèrent pas à un organisme de gestion agréé

A ce jour, les titulaires de BNC, BA et BIC soumis au régime du réel sont fortement incités à adhérer à un organisme de gestion agréé lorsqu’ils n’ont pas recours à un professionnel de l’expertise comptable. En effet, à défaut d’adhésion à un des ces organismes chargés de vérifier la cohérence de la déclaration, une majoration d’assiette de 25% s’applique automatiquement.

La suppression de cette majoration est inscrite dans le projet de loi, avec une dégressivité sur 3 ans :

  • 1,20 de majoration pour les revenus de 2020,
  • 1,15 de majoration pour les revenus de 2021,
  • 1,10 de majoration pour les revenus de 2022.

A compter du 1er janvier 2023, aucune majoration ne sera appliquée, ce qui pourrait signifier la disparition des organismes de gestion agréés.

5°) Suppression du caractère obligatoire de l’enregistrement de certains actes de société

Après plusieurs assouplissements ces dernières années, le projet prévoit la suppression de l’enregistrement obligatoire de certains actes de sociétés.

Les actes concernés seraient ceux constatant :

  • Des augmentations de capital en numéraire ou par incorporations de réserves, ainsi que les réductions et amortissements de capital,
  • Des constitutions de GIE.

Par ailleurs, en vue de raccourcir les délais des formalités, le dépôt de certains actes de sociétés demeurant obligatoirement enregistrés serait possible au greffe du tribunal avant l’exécution de la formalité d’enregistrement au service des impôts.

6°) Nouvelle modification du calcul de la TVS

Outre le renforcement du malus écologique, le calcul de la TVS serait fixé par g/km d’émission de CO2, et non plus par tranche, avec une augmentation ou une diminution des montants selon les cas.