Data Governance Act (DGA) : ce qu’il faut savoir
Parce que la question des données (« la data ») a pris une importance primordiale ces dernières années, notamment en raison de l’essor du numérique, l’Union européenne a décidé de mettre en place un cadre juridique pour exploiter au mieux leur potentiel économique. Explications.
Mieux exploiter le potentiel économique des données
Dans un contexte de concurrence mondiale autour des nouvelles technologies, l’utilisation des données recèle un potentiel économique très important.
Pour exploiter au mieux ce potentiel, l’Union européenne a adopté un règlement appelé « Data Governance Act » (DGA), applicable à compter du 24 septembre 2023.
Il vise à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation. Pour cela, il prévoit :
- de faciliter la réutilisation de certaines catégories de données détenues par des organismes du secteur public (informations commerciales confidentielles, propriété intellectuelle, données personnelles, etc.) ;
- une certification obligatoire pour les fournisseurs de services d’intermédiation de données ;
- une certification facultative pour les organismes pratiquant l’altruisme en matière de données.
Notez que le DGA ne crée pas une obligation d’autoriser la réutilisation des données pour les organismes publics. De même, il ne les exonère pas des obligations mises en place par le règlement général sur la protection des données personnelles (RGPD).
Avec le DGA, les particuliers vont pouvoir plus facilement autoriser l'utilisation des données les concernant, dans l'intérêt de la société, tout en ayant la garantie d'une protection totale de leurs données à caractère personnel.
Prenons l’exemple des personnes atteintes de maladies rares ou chroniques. Elles vont pouvoir, si elles le souhaitent, autoriser l'utilisation de leurs données afin d'améliorer le traitement de ces maladies.
Et grâce aux espaces de données à caractère personnel qui constituent de nouveaux outils et services de gestion des informations à caractère personnel, les particuliers vont :
- bénéficier d'un contrôle accru de leurs données ;
- pouvoir décider, de manière détaillée, de qui aura accès à leurs données et à quelle fin.
Du côté des entreprises, celles-ci vont :
- profiter de nouvelles opportunités commerciales ;
- voir diminuer les coûts d'acquisition, d'intégration et de traitement des données ;
- et voir se réduire les obstacles à l'entrée sur les marchés, tout comme les délais de mise sur le marché de nouveaux produits et services.
-
Le partage de données pour servir la société
Grâce aux données récoltées, les organismes publics vont pouvoir élaborer des décisions et des politiques reposant sur des données probantes (améliorer les transports, par exemple).
Le principe va reposer sur la mise à disposition de données sans rétribution, pour un usage strictement non commercial, qui profite à des communautés ou à la société dans son ensemble, afin de rassurer le particulier ou l’entreprise qui délivre une donnée lui appartenant.
Dans cette optique, un formulaire de consentement commun dans l’UE va voir le jour. Il pourra être adapté aux besoins de chaque secteur et en fonction d'objectifs spécifiques.
Notez qu’une entreprise qui pratique l’altruisme en matière de données va pouvoir s’inscrire volontairement en tant qu'« organisation altruiste en matière de données » dans un nouveau registre public.
-
La protection des données
Les entités qui reçoivent les données vont devoir garantir leur sécurité. Cela passe notamment par des solutions techniques, telles que l'anonymisation ou le traitement des données dans des infrastructures spécialisées, exploitées et contrôlées par le secteur public, mais aussi par des accords de confidentialité juridiquement contraignants que tout réutilisateur de données doit signer.
Pour chaque transfert de données à un réutilisateur, un mécanisme garantira le respect du RGPD et préservera la confidentialité commerciale des données.
La question de la protection va aussi impliquer les prestataires fiables de services de partage de données (des « intermédiaires de données » telles que les plateformes de données), qui vont mettre en commun et organiser les données de manière neutre afin d'accroître la confiance, et qui vont être soumis à un régime de notification.
Un intermédiaire de partage de données ne va pas pouvoir échanger les données dans son propre intérêt (par exemple, en les vendant à une autre société ou en les utilisant pour développer son propre produit). En outre, il va devoir se conformer à des exigences strictes destinées à garantir la neutralité.
Par ailleurs, cette activité va être ouverte aussi bien à des organisations autonomes qui fournissent uniquement des services de partage de données qu'à des entreprises offrant ce type de services parallèlement à d'autres services.
Dans ce cas, l'activité de partage de données doit être strictement séparée des autres services. Les données et métadonnées acquises ne peuvent être utilisées que pour améliorer le service de partage de données.
Enfin, les intermédiaires de données vont être tenus de notifier à l'autorité publique compétente leur intention de fournir de tels services. Les autorités publiques vont alors surveiller le respect des exigences requises et la Commission européenne va tenir un registre des intermédiaires de données.
-
Les espaces européens de données
Des espaces européens de données vont voir le jour pour permettre d'échanger des données provenant du secteur public et des entreprises dans l'ensemble de l’UE d'une manière fiable et à moindre coût.
L’objectif est de développer de nouveaux produits et services fondés sur les données en cause, notamment dans 9 secteurs stratégiques : la santé, l'environnement, l'énergie, l'agriculture, la mobilité, les finances, l'industrie manufacturière, l'administration publique et les compétences.
Data Governance Act (DGA) : ce qu’il faut savoir - © Copyright WebLex
jeudi 06 juillet 2023
Titres-restaurant : relèvement de la limite d’exonération de cotisations pour 2023
La loi de finances pour 2023 avait fixé, pour l’année 2023, la limite d’exonération de cotisations sociales de la participation patronale aux titres-restaurant à 6,50 €. Finalement, ce montant vient d’être relevé . À combien est-il désormais fixé ?
La limite d’exonération est fixée à 6,91 € au 1er janvier 2023 !
Pour l’année 2023, la participation de l’employeur à l’acquisition d’un titre-restaurant est exonérée de cotisations de sécurité sociale et de CSG-CRDS dans la limite de 6,91 € (et non plus de 6,50 € comme prévu initialement).
Notez que cette exonération n’est possible que si le montant de la participation de l’employeur est compris entre 50 % et 60 % de la valeur libératoire du titre.
Par conséquent, la participation de l’employeur à hauteur de 6,91 € sera totalement exonérée de cotisations sociales si la valeur du titre-restaurant est comprise entre 11,52 € et 13,82 €.
L’Urssaf vient de préciser que la limite de 6,50 € fixée par la loi de finances pour 2023 s’appliquera finalement, de manière rétroactive, pour la participation de l’employeur au financement d’un titre-restaurant pour l’année 2022.
- Décret n° 2023-422 du 31 mai 2023 portant incorporation au code général des impôts de divers textes modifiant et complétant certaines dispositions de ce code (article 1)
- Bulletin officiel de la sécurité sociale : Avantages en nature > Titre restaurant - § n° 130
- Actualité de l’Urssaf du 30 juin 2023 : « Titres restaurant : nouvelle limite d’exonération pour 2023 »
Titres-restaurant : relèvement de la limite d’exonération de cotisations pour 2023 - © Copyright WebLex
jeudi 06 juillet 2023
Terminal de paiement tactile : la problématique des personnes aveugles
Les terminaux de paiement tactiles sont de plus en plus utilisés par les commerçants et les distributeurs. La raison ? Le coût et l’absence d’offre alternative de la part des fournisseurs. Mais leur utilisation en plein essor pose la problématique de leur usage par les personnes aveugles…
Terminal de paiement tactile : quelles solutions pour les personnes aveugles ?
Un député constate que les commerçants s'équipent de plus en plus de TPE dotés d'un écran tactile. Or pour les personnes aveugles ou malvoyantes, ces écrans sont très difficiles, voire impossibles à utiliser.
Elles se retrouvent alors contraintes de communiquer leur code secret pour régler leurs achats, ce qui porte atteinte à la confidentialité de l’opération.
Une problématique dont a bien conscience le Gouvernement, rappelant que pour y remédier, il a conclu une charte avec le secteur bancaire visant à garantir l’inclusion dans les moyens de paiement à la fin de l’année 2022.
La signature de cette charte s’inscrit dans le cadre plus global de l’application de nouvelles obligations à venir, issues d’une directive européenne, qui fixe des obligations accrues en matière d’accessibilité.
Cette directive prévoit que les TPE de paiement devront, à l’avenir, être conformes à différentes exigences en matière d'accessibilité s'agissant des informations fournies aux consommateurs et leur conception. À titre d'illustration, ces équipements devront intégrer une technologie de synthèse vocale de texte et permettre l'utilisation d'un casque personnel.
Terminal de paiement tactile : visiblement un problème ? - © Copyright WebLex
mercredi 05 juillet 2023
Bulletins de paie : une nouvelle ligne au 1er juillet 2023 !
Depuis le 1er juillet 2023, les bulletins de paie doivent faire apparaître une nouvelle mention ? Laquelle et pourquoi ?
Bulletins de paie : le montant net social fait son apparition !
Depuis le 1er juillet 2023, les bulletins de paie doivent faire apparaître le montant net social (MNS). Il s’agit d’une information indiquant aux salariés quelle est la somme à déclarer pour effectuer leurs demandes de RSA ou de Prime d’activité.
À terme, les employeurs auront également la charge de communiquer ce montant aux caisses d’allocations familiales (CAF) et à la mutualité sociale agricole (MSA). Cette communication permettra à ces organismes de préremplir ce montant sur les déclarations trimestrielles de ressources des assurés.
Pour aider les employeurs à respecter cette nouvelle obligation, le Gouvernement met à leur disposition plusieurs documents, à savoir :
- une présentation du montant net social ;
- un modèle de courrier à destination des salariés ;
- une brochure pédagogique ;
- une fiche plus spécifique, destinée aux gestionnaires de paie, résumant les principales informations sur le dispositif.
Notez qu’une foire aux questions a également été mise en ligne, consultable ici.
Bulletins de paie : une nouvelle ligne au 1er juillet 2023 ! - © Copyright WebLex
mercredi 05 juillet 2023
Contrôle financier des établissements de santé et données personnelles
S’agissant des données à caractère personnel, celles relatives à la santé des personnes sont parmi les plus protégées. Pourtant, à des fins de contrôle de l’activité des établissements de santé, elles peuvent passer entre les mains de professionnels non impliqués dans les traitements, tels que les commissaires aux comptes. Ce qui nécessite de respecter quelques règles…
L’accès aux données des commissaires aux comptes encadré
Dans le cadre de l’analyse de l’activité médicale des établissements de santé, des commissaires aux comptes et des prestataires habilités peuvent être amenés à consulter des données se rapportant aux soins prodigués par l’établissement.
Les données personnelles des patients devant bénéficier de la meilleure protection possible, les conditions dans lesquelles ces analystes accèdent aux données évoluent.
Bien qu’une sécurité vis-à-vis des données existe déjà, notamment par l’affirmation de la nécessité du respect du secret professionnel des analystes, un filtre supplémentaire est ajouté.
En effet, désormais les commissaires aux comptes et autres prestataires ne pourront recevoir communication des données à caractère personnel nécessaires à l’analyse que par l’intermédiaire d’un médecin expert.
Le commissaire aux comptes devra au préalable définir les périmètres et objectifs de sa mission justifiant un accès à ces données, la durée de cette mission et les catégories de données auxquelles il a besoin d’accéder.
Sur cette base, le médecin expert doit déterminer que la demande de données est conforme aux objectifs poursuivis.
Il pourra ensuite obtenir de l’établissement de santé concerné l’accès aux données et procéder à leur pseudonymisation avant de les mettre à disposition du commissaire aux comptes.
Dans des conditions similaires, les prestataires auxquels l’établissement de santé souhaite faire appel pour l’assister dans la gestion de ses services d’information et ses traitements de données devront au préalable signer un contrat avec le chef de l’établissement définissant le périmètre de la mission.
Le directeur de l’établissement devra alors habiliter individuellement les membres du personnel du prestataire qui seront autorisés à accéder aux données.
L’ensemble des actions menées par le prestataire concernant les données devra être référencé et daté afin que le médecin responsable de l’information médicale en soit averti.
Contrôle financier des établissements de santé et données personnelles - © Copyright WebLex
mercredi 05 juillet 2023
Entreprises : les arnaques se multiplient…
Les professionnels sont de plus en plus victimes d’attaques élaborées. C’est ce que vient de rappeler la DGCCRF en établissant un panorama des différents types d’arnaques existants. Dans le même temps, France Num a rappelé l’importance de porter plainte en cas de cyberattaque…
Entreprises : reconnaître les différents types d’attaques
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) rappelle que les entreprises sont régulièrement l’objet de tentatives d’arnaque. Elle en donne plusieurs exemples.
Tout d’abord, l’arnaque aux annuaires professionnels : une entreprise qui vient de s’inscrire au Registre du commerce et des sociétés est démarchée par un escroc qui va lui proposer d’insérer ses coordonnées dans un annuaire en ligne pour se faire connaître, en contrepartie du versement d’une somme qui peut s’élever à plusieurs milliers d’euros… pour une prestation qui ne rapporte (quasiment) rien.
Ensuite, l’arnaque aux usurpations d’identité : les escrocs se font passer pour des organismes officiels dans le but de récupérer les données de l’entreprise, notamment bancaires, pour lui extorquer de l’argent.
Dans un genre similaire, il y a l’arnaque aux fausses obligations professionnelles : les escrocs, toujours en se faisant passer pour des organismes officiels, vont démarcher des professionnels pour les inciter, contre facturation, à se conformer à de nouvelles obligations réglementaires (accessibilité des locaux, RGPD, etc.).
Plus connue, il existe aussi l’arnaque au président : l’escroc contacte l’entreprise en se faisant passer pour le président de la société par mail ou par téléphone. Après avoir gagné la confiance de son interlocuteur, il va demander la réalisation d’un virement au caractère urgent et confidentiel.
Complétant ce rappel non exhaustif de la DGCCRF, un député s’est fait l’écho du développement de la technique du « spoofing » : afin d'installer la victime dans un environnement de confiance, l’escroc usurpe l'identité de sa banque en se présentant comme un conseiller bancaire ou un employé du service anti-fraude, pour récupérer ses données personnelles par téléphone, mail ou SMS. L’escroc prétend alors devoir réaliser un test de sécurité ou vérifier certains éléments pour bloquer les tentatives de fraude en cours. La victime est invitée à valider les opérations à travers ses moyens d'authentification forte. C’est ainsi la victime elle-même qui se retrouve à valider les opérations frauduleuses…
Entreprises : réagir face à une cyberattaque
Pour rappel, France Num est le service de l’État chargé d’accompagner la transformation numérique des entreprises.
Il vient de rappeler l’importance du dépôt de plainte lorsqu’une entreprise est victime d’une cyberattaque.
Cette plainte doit être effectuée dans un délai de 72 heures après la découverte de l’attaque pour que l’entreprise puisse être indemnisée par son assureur (sous réserve que le contrat prévoit une indemnisation).
Pour porter plainte, il faut se rendre dans un commissariat de police ou à la gendarmerie : la plainte en ligne n’est, en effet, pas possible. Si l’envoi de la plainte par courrier au procureur de la République est envisageable, un déplacement auprès des forces de l’ordre reste recommandé.
Ce dépôt de plainte doit être préparé : il faut récupérer le maximum de preuves du piratage informatique (captures d’écrans, disques durs ou copie des disques durs des appareils infectés, clés USB, etc.).
Ensuite, sachez qu’il est possible de se faire accompagner et d’obtenir de l’aide :
- par téléphone via le service info escroquerie de la police nationale : 0 805 805 817 (numéro gratuit) ;
- en ligne via le chat internet du service consacré à la cybercriminalité de la gendarmerie, ouvert 24/24h.
Enfin, il ne faut pas oublier que l’entreprise doit également, dans le même délai de 72 heures, faire une déclaration auprès de la CNIL, si l’attaque a occasionné une violation des données personnelles détenues par l’entreprise.
- Fiche de France Num du 23 juin 2023 : « Comment porter plainte en cas de cyberattaque de votre entreprise ? »
- Actualité de la DGCCRF du 23 juin 2023 : « Entrepreneurs : sachez comment éviter les arnaques »
- Réponse ministérielle Drexler du 22 juin 2023, Sénat, n° 05763 : « Recrudescence des arnaques à la carte bancaire via le spoofing »
Entreprises : les arnaques se multiplient… - © Copyright WebLex
mardi 04 juillet 2023
