Comment lutter contre la violation massive de données ?

Pour prévenir les violations massives de données qui se multiplient, la Cnil propose aux entreprises des mesures adaptées et un contrôle de leur mise en œuvre.

En 2024, la Cnil a été informée de 5 629 violations de données personnelles (+ 20 % par rapport à 2023), dont un grand nombre se sont révélées de très grande ampleur, qui ont visé notamment des opérateurs du tiers payant, France Travail ou encore la société Free. Ce sont ainsi plus d’un million de personnes qui ont été touchées. Or, selon la Cnil, il semble que les attaquants utilisent quasiment toujours les mêmes modes opératoires et exploitent les mêmes failles.

Une capacité opérationnelle à traiter les alertes

En pratique, les fraudeurs parviennent à obtiennent les informations de connexion d’un collaborateur ou d’un partenaire, arrivent à s’introduire dans le système d’information sans que cela soit immédiatement détecté, extraient massivement les données et mettent en vente les informations recueillies. Fort heureusement, un certain nombre de mesures de sécurité peuvent aider à détecter et à stopper les attaques à chaque étape, ou tout au moins à limiter leur ampleur et leur gravité.Pour aider les entreprises en la matière, la Cnil a publié une fiche détaillant les actions à mettre en place, en s’appuyant sur son Guide de la sécurité des données personnelles 2024 (par exemple, comment mettre en place une analyse en temps réel des flux réseau et des journaux, comment obtenir la capacité opérationnelle à traiter les alertes.

Article publié le 04 février 2025 – © Les Echos Publishing 2025 – Crédit photo : © 2021 Wayne Wilson

Octroi d’un prêt : l’étendue du devoir de mise en garde de la banque

Si les banques sont tenues à un devoir de mise en garde envers les emprunteurs non avertis auxquels elles consentent un crédit, cette obligation porte sur l’inadaptation de ce crédit aux capacités financières de l’emprunteur et sur le risque de l’endettement qui résulte de son octroi, mais pas sur l’opportunité ou la faisabilité de l’opération financée.

Avant de consentir un prêt à un emprunteur non averti (c’est-à-dire un profane), la banque est tenue à un devoir de mise en garde qui consiste à vérifier que ce prêt est adapté aux capacités financières de l’intéressé et à alerter ce dernier sur les risques d’endettement qui peuvent résulter de son octroi. En revanche, cette obligation ne porte pas sur l’opportunité ou la faisabilité de l’opération financée. C’est ce que les juges ont rappelé dans une affaire récente où une société avait emprunté des fonds pour financer l’acquisition de toutes les parts d’une autre société. Par la suite, les échéances du prêt n’ayant pas été honorées par la société, la banque avait agi en justice contre elle ainsi que contre son gérant qui s’était porté caution. Reproche avait alors été fait à la banque d’avoir manqué à son obligation de mise en garde puisqu’elle ne s’était pas renseignée sur la faisabilité du projet financé. Mais pour les juges, la banque n’avait pas à s’interroger sur l’opportunité ou la faisabilité de ce projet.

À noter : lorsque l’emprunteur est un emprunteur averti, la banque n’est tenue à un devoir de mise en garde à son égard que dans le cas où elle détient des informations sur sa situation financière qu’il n’a pas lui-même.

Cassation commerciale, 11 décembre 2024, n° 23-15744

Article publié le 04 février 2025 – © Les Echos Publishing 2025 – Crédit photo : PhotoAlto/Dinoco Greco

Maintien du locataire dans les lieux à l’expiration d’un bail dérogatoire

Au terme du bail d’un local commercial conclu, en accord avec le bailleur, pour une durée de 2 ans seulement, je suis resté dans les lieux, ce dernier ne m’ayant pas envoyé de congé et n’ayant pas manifesté la moindre opposition à mon maintien dans les lieux. Puis-je considérer que ce bail est désormais soumis au statut des baux commerciaux ?

Lorsqu’un bail portant sur un local à usage commercial est conclu pour une durée inférieure ou égale à 3 ans, bailleur et locataire peuvent convenir qu’il ne sera pas soumis à la règlementation des baux commerciaux. Mais lorsqu’un tel bail, dit « dérogatoire » ou de courte durée, arrive à expiration et que le locataire se maintient dans les locaux sans que le bailleur ait manifesté sa volonté de mettre fin au bail ou sans qu’il s’oppose à ce maintien dans les lieux, il se transforme automatiquement, au bout d’un mois, en un bail commercial soumis au statut des baux commerciaux. Vous pouvez donc, en effet, désormais vous prévaloir de ce statut favorable pour vous (durée minimale de 9 ans, droit au renouvellement, droit à une indemnité d’éviction en cas de refus de renouvellement…).

Article publié le 03 février 2025 – © Les Echos Publishing 2025

Employeurs et indépendants : un délai pour régler vos cotisations sociales

L’Urssaf peut accorder un délai de paiement aux employeurs et travailleurs indépendants impactés par les inondations survenues en Bretagne, dans les Pays de la Loire et en Normandie.

En raison des inondations récemment survenues dans les régions de la Bretagne, des Pays de la Loire et de la Normandie, certains employeurs et travailleurs indépendants (y compris les praticiens auxiliaires médicaux) peuvent rencontrer des difficultés à respecter les échéances de déclaration et de règlement des cotisations sociales. Aussi, l’Urssaf peut leur accorder un délai et les exonérer de pénalités et majorations de retard. Marche à suivre…

Pour les employeurs

Pour obtenir un délai de paiement des cotisations sociales dues sur les rémunérations de leurs salariés, les employeurs doivent en faire la demande auprès de l’Urssaf :- soit en se rendant sur le site de l’organisme, puis sur leur messagerie sécurisée « Messagerie », « Une formalité déclarative » et « Déclarer une situation exceptionnelle (catastrophe naturelle, incendie…) » ;- soit en appelant le 3957.

Pour les travailleurs indépendants

Les travailleurs indépendants (y compris les praticiens auxiliaires médicaux) peuvent, eux aussi, se voir accorder un délai de paiement de leurs cotisations sociales personnelles :- soit en se rendant sur le site de l’Urssaf, puis sur leur messagerie sécurisée « Messagerie », « Une formalité déclarative » et « Déclarer une situation exceptionnelle (catastrophe naturelle, incendie…) » ; – soit en appelant le 3698, choix 0 (0 806 804 209, choix 0, pour les praticiens auxiliaires médicaux).

En complément : les travailleurs indépendants victimes d’intempéries peuvent également obtenir une aide d’urgence, pouvant aller jusqu’à 2 000 €, du Conseil de la protection sociale des travailleurs indépendants (CPSTI). Les modalités de demande et d’attribution de cette aide étant présentées sur le site du CPSTI.

Actualité de l’Urssaf du 30 janvier 2025

Article publié le 31 janvier 2025 – © Les Echos Publishing 2025 – Crédit photo : Ngo Quan / 500px

Pour mener à bien votre obligation de reclassement…

Dans le cadre de licenciements économiques, l’employeur qui omet de préciser les critères de départage des salariés dans la liste des postes disponibles manque à son obligation de reclassement. Et les licenciements prononcés sont dépourvus de cause réelle et sérieuse.

L’employeur qui envisage de procéder à des licenciements pour motif économique doit, avant toute chose, rechercher un poste de reclassement pour les salariés concernés. Pour remplir son obligation, il peut soit adresser des offres de reclassement personnalisées aux salariés, soit leur transmettre la liste de tous les emplois de reclassement disponibles.

Précision : ces offres de reclassement doivent être précises, c’est-à-dire mentionner notamment l’intitulé du poste, le nom de l’employeur, la nature du contrat de travail, la classification du poste de travail… À défaut de ces mentions, les juges considèrent que l’employeur n’a pas rempli son obligation de reclassement et les licenciements prononcés sont alors dépourvus de cause réelle et sérieuse.

Mais ce n’est pas tout. Lorsque l’employeur décide de diffuser une liste des postes de reclassement disponibles à l’ensemble des salariés, cette liste doit préciser, en particulier, les critères de départage des salariés en cas de candidatures multiples sur un même poste. Sous peine, cette fois encore, que les juges requalifient les licenciements économiques en licenciements sans cause réelle et sérieuse…Dans une affaire récente, un employeur, qui envisageait de licencier plusieurs salariés pour motif économique, leur avait adressé une liste des postes de reclassement disponibles. Aucune candidature n’ayant été formulée pour les postes concernés, les salariés avaient conclu un contrat de sécurisation professionnelle avec leur employeur, mettant ainsi fin à leur contrat de travail. Mais ces derniers avaient ensuite saisi la justice pour faire requalifier la rupture de leur contrat de travail en licenciement sans cause réelle et sérieuse. Et ce, au motif que la liste des offres de reclassement ne précisait pas les critères de départage mis en œuvre en cas de candidatures multiples pour un même poste. De son côté, l’employeur estimait que cette simple « irrégularité de procédure » n’avait pas influencé le choix des salariés de ne pas candidater aux offres de reclassement proposées. Et donc que leur licenciement était bien pourvu d’une cause réelle et sérieuse. Mais la Cour de cassation n’a pas été de cet avis. Pour elle, l’absence des critères de départage des salariés rend les offres de reclassement imprécises, en ce qu’elles ne leur donnent pas les éléments d’information, et donc les outils de réflexion, qui déterminent leur décision. Dès lors, l’employeur qui omet cette mention ne remplit pas son obligation de reclassement et les licenciements économiques prononcés sont dépourvus de cause réelle et sérieuse.

Conséquence : privé de cause réelle et sérieuse, le licenciement donne lieu au paiement de dommages-intérêts au salarié.

Cassation sociale, 8 janvier 2025, n° 22-24724

Article publié le 30 janvier 2025 – © Les Echos Publishing 2025 – Crédit photo : skynesher

Communauté d’intérêts entre les secteurs lucratif et non lucratif d’une association

L’existence d’une communauté d’intérêts entre le secteur lucratif d’une association et son secteur non lucratif fait perdre à ce dernier le caractère désintéressé de sa gestion, entraînant ainsi son assujettissement aux impôts commerciaux.

Les associations sont, en principe, exonérées d’impôts commerciaux (impôt sur les sociétés, TVA, cotisation foncière des entreprises et cotisation sur la valeur ajoutée des entreprises) à condition notamment que leur gestion soit désintéressée. Illustration dans une affaire récente où une association avait constitué deux secteurs d’activité, un secteur lucratif et un secteur non lucratif. Ainsi, cette association exerçait des activités lucratives comprenant l’exploitation de parcs à thèmes et la location de costumes, pour lesquelles elle payait des impôts commerciaux (impôt sur les sociétés et TVA) et des activités non lucratives, composées d’une grande manifestation médiévale, d’actions sociales d’insertion ainsi que diverses activités associatives, qui, elles, n’étaient pas soumises aux impôts commerciaux. À la suite d’une vérification de comptabilité, l’administration fiscale avait soumis aux impôts commerciaux les activités non lucratives de l’association, estimant que celles-ci étaient indissociables de ses activités lucratives. Saisie du litige, la Cour administrative d’appel de Lyon a confirmé ce redressement fiscal. En effet, elle a constaté que les excédents bruts d’exploitation générés par les activités déclarées non lucratives de l’association étaient supérieurs à ceux provenant de ses activités lucratives et permettaient donc de financer, outre son secteur non lucratif, différents projets mis en place dans son secteur lucratif et, notamment, ses parcs à thèmes. Elle a également noté que l’association ne disposait pas de comptes bancaires séparés pour son secteur lucratif et son secteur non lucratif. Elle en a déduit que son activité non lucrative, et notamment la grande manifestation médiévale, permettait de développer son activité lucrative, soit ses parcs à thèmes.Selon la Cour administrative d’appel, au vu de ces constatations, il existait une communauté d’intérêts entre le secteur lucratif de l’association et son secteur non lucratif puisque le premier tirait un avantage concurrentiel indirect du second. Dès lors, la gestion de son secteur non lucratif ne pouvait pas présenter de caractère désintéressé. Et ce secteur devait être soumis aux impôts commerciaux.

Cour administrative d’appel de Lyon, 17 octobre 2024, n° 23LY02766

Article publié le 30 janvier 2025 – © Les Echos Publishing 2025 – Crédit photo : Ralph Hoppe – www.FooTToo.de

Services à la personne : mise en place d’une carte professionnelle

Les aides à domicile qui travaillent pour un service qui apportent aux personnes âgées ou aux personnes handicapées une assistance dans les actes quotidiens de la vie, des prestations de soins ou une aide à l’insertion sociale bénéficient d’une carte professionnelle.

La loi « bien vieillir » d’avril 2024 a instauré une carte professionnelle pour les professionnels intervenant au domicile des personnes âgées et des personnes handicapées. Un récent décret a défini les professionnels concernés ainsi que les modalités de délivrance de cette carte.

Précision : la carte professionnelle est entrée en vigueur le 1er janvier 2025. Toutefois, la liste des certifications professionnelles permettant d’obtenir sa délivrance doit encore être définie par arrêté.

Quels sont les professionnels concernés ?

La carte est délivrée aux personnes intervenant au domicile des personnes âgées ou des personnes handicapées et travaillant pour un service qui leur apportent une assistance dans les actes quotidiens de la vie, des prestations de soins ou une aide à l’insertion sociale. Ces personnes doivent justifier :
– soit d’une certification professionnelle au minimum de niveau 3 (CAP, BEP ou certificat de spécialisation) attestant de compétences dans les secteurs sanitaire, médico-social ou social, sachant que la liste de ces certifications doit encore être définie par un arrêté ;
– soit de 3 ans d’exercice professionnel, au moins à mi-temps, dans l’accompagnement au domicile des personnes âgées ou des personnes handicapées au cours des 5 dernières années.

Comment obtenir une carte professionnelle ?

L’employeur doit enregistrer ses salariés dans le répertoire partagé des professionnels intervenant dans le système de santé (RPPS). La carte professionnelle peut ainsi être délivrée au moyen d’une identification électronique. L’employeur doit également veiller à la mise à jour des données du salarié et déclarer la fin de son contrat de travail.

À noter : la carte porte la mention « professionnel qualifié de l’aide à domicile ». Elle permet notamment à son titulaire de bénéficier de facilités en termes de circulation et de stationnement pour se rendre au domicile des personnes âgées et des personnes handicapées.

Art. 19, loi n° 2024-317 du 8 avril 2024, JO du 9Décret n° 2024-1246 du 30 décembre 2024, JO du 31

Article publié le 30 janvier 2025 – © Les Echos Publishing 2025 – Crédit photo : Copyright Maskot

Donneur d’ordre : communication de l’attestation de vigilance

Notre société va, pour la première fois, passer un contrat de prestation de services d’un montant de plusieurs milliers d’euros pour externaliser le nettoyage de nos locaux. Nous avons entendu parler de l’obligation d’obtenir une attestation de vigilance. Pouvez-vous nous en dire plus sur ce sujet ?

Si ce contrat représente un montant d’au moins 5 000 € hors taxes en vue de l’exécution d’un travail, de la fourniture d’une prestation de services ou de l’accomplissement d’un acte de commerce (contrat de fabrication, de réparation, de construction, de transport, etc.), vous devez en effet obtenir de votre cocontractant un document prouvant qu’il respecte ses obligations sociales (déclaration et paiement des cotisations sociales). Cette obligation s’impose lors de la conclusion du contrat puis tous les 6 mois jusqu’à la fin de son exécution. Les tribunaux rappellent régulièrement que le seul document valable dans ce cadre est l’attestation de vigilance qui est délivrée au cocontractant par l’Urssaf ou la Mutualité sociale agricole (MSA). Aucun autre document (attestation sur l’honneur du cocontractant, par exemple) n’est accepté.Si votre cocontractant est établi à l’étranger, vous devez vous faire remettre le certificat A1, unique document permettant de s’assurer qu’il est à jour de ses cotisations sociales dans son pays.Et attention, en tant que donneur d’ordre, vous devez non seulement vous faire communiquer l’attestation de vigilance par votre sous-traitant mais aussi vérifier sa validité et son authenticité en saisissant le code de sécurité mentionné sur ce document dans l’outil de vérification des attestations disponible sur le site de l’Urssaf ou sur celui de la MSA.


Important : le donneur d’ordre qui ne se fait pas remettre d’attestation de vigilance par son cocontractant peut, si ce dernier fait l’objet d’un procès-verbal pour travail dissimulé, être condamné au paiement des cotisations sociales, taxes, impôts et autres charges de ce dernier. Il peut également perdre le bénéfice des exonérations et réductions de cotisations applicables à ses propres salariés.

Article publié le 29 janvier 2025 – © Les Echos Publishing 2025

Recours à un contrat de travail à durée déterminée

Un contrat de travail à durée déterminée ne peut être conclu que pour l’exécution d’une tâche précise et temporaire, comme un accroissement temporaire d’activité ou le remplacement d’un salarié.

Janvier 2025 – semaine 5

Article publié le 29 janvier 2025 – © Les Echos Publishing 2025

Discuter IA autour d’un café

L’agence France Num, qui accompagne les petites entreprises dans leur transition numérique, propose aux dirigeants de TPE-PME, travailleurs indépendants et salariés d’entreprise, de discuter intelligence artificielle (IA) autour d’un café !

Le Café IA se veut un moment privilégié pour échanger en présentiel sur la thématique de l’Intelligence artificielle qui bouleverse tant le quotidien du monde du travail. Les participants peuvent ainsi apprendre, expérimenter et débattre sur les différents usages de l’IA avec une dizaine de professionnels dans un lieu convivial et informel. Cette rencontre dure 1h à 1h30 et n’autorise qu’un nombre limité de participants (6 à 15 personnes).

Des rencontres gratuites sur inscription

Ces Cafés IA & Travail sont organisés sur le terrain par les organisations professionnelles, les chambres de commerce et d’industrie, les chambres de métiers et de l’artisanat et des experts privés, notamment des Activateurs France Num. Les dates et lieux des prochaines rencontres sont disponibles sur le site France Num. Elles sont accessibles sans inscription, gratuitement et réalisées dans une logique non commerciale.

À noter : pour tous ceux qui souhaitent organiser un café, le site internet Cafeia.org met à leur disposition toutes les ressources utiles.

Article publié le 28 janvier 2025 – © Les Echos Publishing 2025 – Crédit photo : Yaroslav Kushta