Catégorie : Infos juridiques

Alors que plusieurs affaires concernant des mauvais traitements sur des personnes âgées dans des EHPAD ont fait l’actualité, la Commission nationale de l’informatique et des libertés (CNIL) a décidé de publier ses recommandations en matière de vidéosurveillance dans ces établissements. Et notamment lorsqu’elle est mise en place dans les chambres des patients…

Caméras dans la chambre des patients : nécessité d’un cadre raisonnable

Plusieurs affaires ont secoué l’actualité en mettant en évidence les mauvais traitements que pouvaient recevoir certains patients résidant dans des EHPAD.

Ces affaires ont amené le Gouvernement et l’administration à se saisir de la situation pour faire un point sur ces évènements et y apporter une réponse.

Dans ce contexte général de remise à plat, la Commission nationale de l’informatique et des libertés (CNIL) a été interrogée sur la question de l’installation de systèmes de vidéosurveillance dans la chambre des patients.

Elle rappelle que, par principe, il est interdit de procéder à ce genre d’installation, même lorsque certains établissements le justifient comme un moyen d’améliorer les services proposés aux patients, notamment en permettant des interventions plus rapides en cas de chutes.

Mais la CNIL rappelle également qu’un tempérament existe à cette interdiction. En effet, l’installation d’une vidéosurveillance dans la chambre d’un patient peut être envisagée pour la sécurité des personnes hébergées dans le cadre d’une enquête pour maltraitance lorsqu’il y a des suspicions étayées de mauvais traitement et que d’autres procédures d’enquêtes n’ont pas permis de les établir.

La CNIL détaille également les précautions qui doivent être prises lorsque ce type d’installation est envisagé, notamment :

• limiter dans le temps l’activation des caméras ;
• désactiver le système lors des visites des proches (hors suspicion de maltraitances commises par eux) ;
• établir et appliquer un cadre interne quant aux conditions justifiant l’installation du dispositif ;
• informer les salariés de la présence de vidéosurveillance dans les chambres ;
• recueillir le consentement des patients ;
• flouter tant que possible les patients lorsque des soins intimes leur sont prodigués dans leur lit ;
• prévoir la présence de la vidéosurveillance dans le règlement intérieur de l’établissement ;
• sensibiliser et former les personnels chargés d’opérer la vidéosurveillance.

EHPAD : des caméras de vidéosurveillance dans les chambres ? – © Copyright WebLex

Parmi les projets européens en matière d’intégration numérique, l’Union européenne a publié un texte important sur un sujet attendu : le portefeuille européen d’identité numérique. En quoi consiste cette nouveauté ? Quelles en sont les implications concrètes ?

Identité numérique : transparence, sécurité, interopérabilité, accompagnement

Pour rappel, l’identité numérique correspond aux identifiants permettant à une personne de s’authentifier pour accéder à des services en ligne, comme France Connect.

Un règlement européen est intervenu sur la question de l’identité numérique. Objectif : créer un portefeuille européen d’identité numérique, sécurisé et reconnu par tous les États membres.

Pour cela, les États ont 24 mois à partir du 20 mai 2024 pour mettre en place au moins un dispositif de portefeuille pour leurs citoyens qui répond à toutes les exigences de protection et de cybersécurité de l’UE. Pour les aider et mettre en place un système harmonisé, la Commission doit encore publier ses lignes directrices et recommandations.

Concrètement, les utilisateurs pourront utiliser gratuitement ce portefeuille pour s’identifier tout en évitant de communiquer des informations personnelles. Ce dispositif sera facultatif, c’est-à-dire qu’un utilisateur ne pourra pas se voir refuser l’accès à un service parce qu’il n’utilise pas le portefeuille européen. De même, il pourra à tout moment se retirer de ce dispositif ou transférer ses données sur un autre portefeuille européen si l’État en propose plusieurs.

Les informations stockées (diplômes, pièce d’identité, etc.) devront avoir la même valeur que leur version papier.

Le portefeuille numérique devra appliquer le principe de « divulgation sélective ». Autrement dit, seules les informations nécessaires à l’authentification seront transmises.

Notez que l’accessibilité devra être assurée via la mise en place de formation pour les personnes les moins à l’aise avec les outils numériques et par des interfaces adaptées aux personnes handicapées.

Parce que la transparence est le maître mot de ce portefeuille, les États devront rendre public leur code source, le rendant ainsi accessible à toute personne désireuse de le lire.

Le portefeuille européen d’identité numérique : bientôt une réalité ! – © Copyright WebLex

Depuis quelques années, pour raccourcir les délais pour passer le permis de conduire, des centres d’examens privés peuvent faire passer l’épreuve théorique, à condition d’obtenir un agrément. Un agrément dont le cahier des charges vient d’évoluer…

Un nouveau cahier des charges pour obtenir l’agrément ministériel !

Pour rappel, normalement, ce sont les inspecteurs du permis de conduire qui font passer l’épreuve théorique (appelée « code »). Mais, trop peu nombreux, ils se sont retrouvés dépassés face au nombre important de candidats souhaitant obtenir ou devant repasser le permis de conduire.

D’où la décision de permettre à des organismes privés d’organiser l’épreuve théorique du permis de conduire. Pour cela, il est nécessaire d’obtenir un agrément ministériel.

Un nouveau cahier des charges à respecter pour obtenir cet agrément vient de voir le jour, en vigueur depuis le 4 mai 2024. Notez que les organismes déjà détenteur d’un agrément ont jusqu’au 4 juillet 2024 pour se mettre en conformité avec la nouvelle réglementation.

Organisateurs d’épreuves théoriques du permis de conduire : du nouveau ! – © Copyright WebLex

La Cour de justice de l’Union européenne vient préciser les conditions d’indemnisations de passagers ne se présentant pas à l’enregistrement en cas de vol tardif de plus de 3 heures de retard… Focus

Renoncement à se présenter à un vol tardif : attention !

Un passager aérien, en raison d’un retard important annoncé sur un vol réservé entre l’Espagne et l’Allemagne, a décidé de ne pas embarquer sur ce vol et ne s’est pas présenté à l’enregistrement. Finalement, ce vol arrive avec 3 heures et 32 minutes de retard.

Le passager a, quant à lui, réservé un second vol et atteint sa destination finale avec moins de 3 heures de retard par rapport à son heure d’arrivée initiale.

Le passager demande tout de même une indemnisation de son premier vol, au titre des 3 heures réglementaires de retard dépassé.

Le juge allemand se pose alors la question suivante : un passager ne se présentant pas à l’enregistrement d’un vol tardif peut-il tout de même être indemnisé ?

« Absolument pas ! », affirme le juge européen, qui considère que le passager, ne s’étant pas présenté à l’enregistrement, n’a pas subi un préjudice « sérieux » de perte de temps permettant l’ouverture d’une indemnisation forfaitaire.

D’autant que ce passager est arrivé à destination avec un second vol de remplacement, avec moins de 3 heures de retard…

Retard de vol : indemnisation automatique ? – © Copyright WebLex

De plus en plus d’établissements et de lieux recevant du public proposent l’accès à un réseau internet public. Une offre qui emporte le respect de certaines obligations, notamment au regard des données et de leur conservation. Ce que vient de rappeler la CNIL, en ajoutant quelques précisions…

Réseaux internet publics : un régime spécial de conservation des données

Il est désormais commun de se voir proposer une connexion à un réseau internet publics dans différents lieux recevant du public.

Parfois gratuits, parfois payants, simples d’accès ou nécessitant une inscription, ces réseaux entrainent certaines obligations pour les entités qui les proposent, et notamment celle de conserver certaines des données relatives à l’utilisation de ces réseaux.

Sont visées plus précisément les données dites « techniques », c’est-à-dire :

• les adresses IP ;
• les dates et heures de connexion ;
• les durées de connexions ;
• etc.

Ces données pouvant servir à l’occasion d’enquêtes diligentées par les forces de l’ordre, ceux qui fournissent ces réseaux publics sont tenus de les conserver.

Pour autant, comme le rappelle la Commission nationale sur l’informatique et les libertés (CNIL), ces données restent des données à caractère personnel qui doivent faire l’objet d’une attention particulière.

C’est pourquoi il est nécessaire de limiter le traitement de ces données au strict minimum nécessaire. Ce qui implique notamment d’adapter la durée de conservation de ces données aux buts poursuivis.

La CNIL détaille donc les durées recommandées par type de données, qui vont dans ce cadre de 3 mois à 5 ans selon les cas.

La Commission rappelle également que conformément aux règles relatives aux données personnelles, les personnes concernées conservent des droits vis-à-vis de ces données (droit d’accès, droit de rectification, etc.) et peuvent se rapprocher du responsable de traitement pour les exercer.

Réseaux internet publics : le point sur les données – © Copyright WebLex

Depuis quelques années, les dérives sectaires ont évolué et augmenté : aux dérives religieuses, se sont ajoutées les dérives venant des domaines de la santé, de l’alimentation, du bien-être, du développement personnel, du coaching, etc. Des dérives qui profitent des réseaux sociaux pour se développer. Pour y remédier, une loi vient d’être publiée…

Panorama des mesures pour lutter contre les dérives sectaires

Début mai 2024, une loi visant à renforcer la lutte contre les dérives sectaires et à améliorer l’accompagnement des victimes a été publiée. Voici les principales mesures qu’il faut retenir :

• création d’un délit de placement ou maintien dans un état de sujétion psychologique ou physique ;
• création de la circonstance aggravante de sujétion psychologique ou physique pour de nouveaux crimes et délits (meurtre, actes de torture et de barbarie, violences et escroquerie) ;
• création d’un délit de provocation à l’abandon ou à l’abstention de soins et d’un délit à l’adoption de pratiques risquées pour la santé (exposant à un risque immédiat de mort ou de blessures graves) ;
• création de nouvelles circonstances aggravantes liées aux dérives sectaires dans le cadre de « thérapies de conversion » (si la victime est en état de sujétion, si l’infraction est commise par un « gourou », etc.) ;
• l’exercice illégal de la médecine ou de pratiques commerciales trompeuses via internet sont plus sévèrement sanctionnés (jusqu’à 5 ans de prison et 75 000 € d’amende) ;
• le juge doit informer sans délai les ordres concernés (médecins, pharmaciens, infirmiers, masseurs-kinésithérapeutes, etc.) des décisions judiciaires prises contre des praticiens impliqués dans des dérives sectaires ;
• les associations peuvent se constituer en partie civile pour des infractions à caractère sectaire, sur agrément (seule l’UNADFI pouvait le faire actuellement) ;
• le délai de prescription en cas d’abus de faiblesse ou de délit de sujétion sur un enfant est porté de 6 à 10 ans ;
• ouverture d’une nouvelle possibilité de dérogation au secret médical spécifiquement dédiée aux dérives sectaires ;
• exclusion des organismes condamnés pour dérives sectaires du bénéfice des dons ouvrant droit à des avantages fiscaux ;
• obligation des fournisseurs d’accès à internet (FAI) et des hébergeurs de contenus en ligne de concourir à la lutte contre les abus de faiblesse et le délit de sujétion.

Dérives sectaires : quoi de neuf ? – © Copyright WebLex

Pour rappel, le Gouvernement a annoncé de nouveaux aménagements pour le diagnostic de performance énergétique (DPE), en raison d’incohérences pratiques engendrées par la réforme de 2021. Ces incohérences vont (enfin) prendre fin…

Rénovation énergétique des logements : un DPE (enfin) revu et corrigé !

Pour mémoire, afin d’améliorer l’efficacité de la rénovation énergétique des logements, le diagnostic de performance énergétique (DPE) a fait l’objet d’une réforme en 2021 : il s’agissait de fixer un seuil minimum de performance énergétique pour définir ce qu’est un « logement décent ».

Ainsi, pour qu’un logement soit considéré comme décent, il doit :

• depuis le 1er janvier 2023, avoir une consommation d’énergie exprimée en énergie finale, inférieure à 450 kWhEF/m²/an ;
• à partir du 1er janvier 2025, atteindre au moins la classe F du DPE ;
• à partir du 1er janvier 2028, atteindre au moins la classe E du DPE ;
• à partir du 1er janvier 2034, atteindre au moins la classe D du DPE.

Cette réforme a toutefois eu une conséquence négative imprévue : les logements de petites surfaces se sont retrouvés moins bien classés que la moyenne par le DPE, notamment en raison d’une consommation d’eau chaude sanitaire ramenée au m² plus importante.

De nouveaux aménagements du DPE ont donc été annoncés, visant à corriger les seuils de DPE pour les rendre plus équitables pour les logements d’une surface inférieure à 40 m² qui devaient être définis dans un arrêté ministériel à venir.

Cet arrêté vient de paraître : il est consultable ici. Notez que ces aménagements seront applicables à compter du 1er juillet 2024.

DPE : les assouplissements annoncés arrivent… – © Copyright WebLex

Pour pouvoir bénéficier des aides accordées par la Politique agricole commune (PAC), les agriculteurs doivent faire leur demande en ligne avant une certaine date. Un délai supplémentaire est accordé pour certaines aides. Qu’en est-il ?

PAC : un sursis pour les aides découplées

Le versement des aides accordées par la Politique agricole commune (PAC) suppose que les agriculteurs effectuent une télédéclaration à l’occasion de campagnes annuelles.

Effectuer leur télédéclaration en dehors des dates limites de ces campagnes exposent les professionnels à des pénalités de retard.

La campagne de télédéclaration pour 2024 devait prendre fin au 15 mai 2024. Cependant, le ministère de l’Agriculture et de la Souveraineté alimentaire a décidé de jouer les prolongations.

Ainsi, pour les aides liées à la surface, également appelées « aides découplées », la date limite de dépôt des dossiers est portée au 24 mai 2024.

Les autres types d’aides ne sont pas concernés par ce report.

PAC : prolongation des télédéclarations – © Copyright WebLex

Un défaut de construction dans une station-service permet à l’eau de s’infiltrer dans le carburant, causant finalement une perte d’exploitation de 4 ans pour l’exploitant de la station. Une perte indemnisable ? Pas si sûr, selon la société ayant construit la station-service, à la lecture du contrat la liant à l’exploitant…

Perte d’exploitation et responsabilité : il y a de l’eau dans le gaz !

L’exploitant d’un hypermarché confie à un constructeur la réalisation d’une nouvelle station-service. Dans les mois qui suivent son ouverture, de nombreux automobilistes se plaignent : une analyse est effectuée, et… surprise ! Une concentration d’eau anormalement élevée est retrouvée dans le carburant.

La société de construction intervient alors pour changer un joint défaillant dans la cuve, en précisant à l’exploitant de l’hypermarché qu’aucun contrôle n’est nécessaire avant la remise en fonctionnement de la station-service.

Pourtant, celle-ci va rester en arrêt plus de 4 ans, la teneur en eau du carburant étant toujours anormale…

C’est finalement l’intervention d’un tiers, qui va procéder à la vidange et au nettoyage de tous les compartiments de la cuve, qui va permettre sa remise en service.

Mécontent, l’exploitant de l’hypermarché, qui considère que le constructeur est responsable de cet arrêt, réclame une indemnisation pour l’ensemble des pertes subies pendant les 4 ans de fermeture de la station.

« Non ! », conteste le constructeur, qui rappelle, entre autres arguments, la présence d’une clause limitative de responsabilité jouant ici en sa faveur puisqu’elle exclut sa participation à d’éventuelles pertes d’exploitation si sa responsabilité décennale est engagée.

Sauf qu’une clause excluant ou limitant les responsabilités légales et les garanties prévues pour les constructeurs est illicite, réplique l’exploitant de l’hypermarché…

Ce que confirme le juge : la responsabilité de la société de construction étant bien engagée puisqu’elle a failli à son obligation de fournir une installation apte à délivrer de l’essence non polluée par de l’eau, l’exploitant de l’hypermarché a droit à une indemnisation !

Station-service : quand le carburant comporte de l’eau… – © Copyright WebLex

À travers une illustration pratique, la CNIL vient récemment de rappeler les actions à mener lorsque des données personnelles ont fait l’objet d’une violation. Voici la réaction appropriée à suivre, si cela devait vous arriver…

Violation des données personnelles : rappel de la marche à suivre

Pour permettre à tous les professionnels de comprendre et de prévenir les risques d’accès à des données personnelles par des tiers, la CNIL a publié un exemple pratique à travers un vol de supports et détournements de services dans le cadre scolaire.

Au-delà de l’illustration pratique, voici la démarche à suivre pour tout entrepreneur victime d’une violation de données.

• Étape 1 : le signalement 

La violation des données doit être remontée au délégué à la protection des données, le cas échéant, qui doit être notifiée à la CNIL dans les 72 heures qui suivent sa découverte. 

Une plainte auprès des forces de l’ordre est également à effectuer.

• Étape 2 : la documentation 

Les informations collectées à propos de la violation doivent être documentées, notamment à l’aide des prestataires informatiques. 

C’est à cette étape que la violation des données auprès de la CNIL est formellement réalisée. 

Cette notification est faite grâce aux procédures internes de gestion des incidents.

• Étape 3 : rétablissement des données

Il faut rétablir les données si vous disposez de sauvegarde ou d’une journalisation des actions effectuées sur l’espace victime d’une cyberattaque.

• Étape 4 : informer les personnes concernées

Dans certaines situations, il va falloir communiquer auprès des personnes concernées que leurs données personnelles font l’objet d’une violation. 

Pour cela, il faut rédiger un message rappelant des informations obligatoires : les circonstances de l’incident, la nature des données concernées, le point de contact pour avoir des informations supplémentaires, les mesures déjà prises et envisagées et les conséquences possibles pour les personnes concernées.

• Étape 5 : sensibilisation des équipes

Il faut réunir les collaborateurs pour leur faire part de la situation et les sensibiliser à la protection des données.

• Étape 6 : finalisation de la notification à la CNIL

Le cas échéant, il faut faire une notification complémentaire auprès de la CNIL pour lui transmettre les nouveaux éléments : la mise à jour du nombre de personnes concernées par la violation, le nombre de personnes informées et un modèle non nominatif du message adressé à ces dernières.

• Par la suite

Une fois ces étapes achevées, il va falloir mettre en place des actions de bonnes pratiques (si ce n’est pas déjà fait) pour éviter que la situation se reproduise :

• sensibiliser régulièrement vos clients et vos collaborateurs aux bonnes pratiques ;
• mettre en place des procédures de gestion des incidents ;
• s’assurer qu’une journalisation fine des accès et des actions est mise en place sur vos applications ;
• proposer une authentification multi-facteur ;
• etc.