Actu juridique

Alors que plusieurs affaires concernant des mauvais traitements sur des personnes âgées dans des EHPAD ont fait l'actualité, la Commission nationale de l'informatique et des libertés (CNIL) a décidé de publier ses recommandations en matière de vidéosurveillance dans ces établissements. Et notamment lorsqu'elle est mise en place dans les chambres des patients…

Caméras dans la chambre des patients : nécessité d'un cadre raisonnable

Plusieurs affaires ont secoué l'actualité en mettant en évidence les mauvais traitements que pouvaient recevoir certains patients résidant dans des EHPAD.

Ces affaires ont amené le Gouvernement et l'administration à se saisir de la situation pour faire un point sur ces évènements et y apporter une réponse.

Dans ce contexte général de remise à plat, la Commission nationale de l'informatique et des libertés (CNIL) a été interrogée sur la question de l'installation de systèmes de vidéosurveillance dans la chambre des patients.

Elle rappelle que, par principe, il est interdit de procéder à ce genre d'installation, même lorsque certains établissements le justifient comme un moyen d'améliorer les services proposés aux patients, notamment en permettant des interventions plus rapides en cas de chutes.

Mais la CNIL rappelle également qu'un tempérament existe à cette interdiction. En effet, l'installation d'une vidéosurveillance dans la chambre d'un patient peut être envisagée pour la sécurité des personnes hébergées dans le cadre d'une enquête pour maltraitance lorsqu'il y a des suspicions étayées de mauvais traitement et que d'autres procédures d'enquêtes n'ont pas permis de les établir.

La CNIL détaille également les précautions qui doivent être prises lorsque ce type d'installation est envisagé, notamment :

• limiter dans le temps l'activation des caméras ;
• désactiver le système lors des visites des proches (hors suspicion de maltraitances commises par eux) ;
• établir et appliquer un cadre interne quant aux conditions justifiant l'installation du dispositif ;
• informer les salariés de la présence de vidéosurveillance dans les chambres ;
• recueillir le consentement des patients ;
• flouter tant que possible les patients lorsque des soins intimes leur sont prodigués dans leur lit ;
• prévoir la présence de la vidéosurveillance dans le règlement intérieur de l'établissement ;
• sensibiliser et former les personnels chargés d'opérer la vidéosurveillance.

EHPAD : des caméras de vidéosurveillance dans les chambres ? - © Copyright WebLex

Depuis quelques années, les dérives sectaires ont évolué et augmenté : aux dérives religieuses, se sont ajoutées les dérives venant des domaines de la santé, de l'alimentation, du bien-être, du développement personnel, du coaching, etc. Des dérives qui profitent des réseaux sociaux pour se développer. Pour y remédier, une loi vient d'être publiée…

Panorama des mesures pour lutter contre les dérives sectaires

Début mai 2024, une loi visant à renforcer la lutte contre les dérives sectaires et à améliorer l'accompagnement des victimes a été publiée. Voici les principales mesures qu'il faut retenir :

• création d'un délit de placement ou maintien dans un état de sujétion psychologique ou physique ;
• création de la circonstance aggravante de sujétion psychologique ou physique pour de nouveaux crimes et délits (meurtre, actes de torture et de barbarie, violences et escroquerie) ;
• création d'un délit de provocation à l'abandon ou à l'abstention de soins et d'un délit à l'adoption de pratiques risquées pour la santé (exposant à un risque immédiat de mort ou de blessures graves) ;
• création de nouvelles circonstances aggravantes liées aux dérives sectaires dans le cadre de « thérapies de conversion » (si la victime est en état de sujétion, si l'infraction est commise par un « gourou », etc.) ;
• l'exercice illégal de la médecine ou de pratiques commerciales trompeuses via internet sont plus sévèrement sanctionnés (jusqu'à 5 ans de prison et 75 000 € d'amende) ;
• le juge doit informer sans délai les ordres concernés (médecins, pharmaciens, infirmiers, masseurs-kinésithérapeutes, etc.) des décisions judiciaires prises contre des praticiens impliqués dans des dérives sectaires ;
• les associations peuvent se constituer en partie civile pour des infractions à caractère sectaire, sur agrément (seule l'UNADFI pouvait le faire actuellement) ;
• le délai de prescription en cas d'abus de faiblesse ou de délit de sujétion sur un enfant est porté de 6 à 10 ans ;
• ouverture d'une nouvelle possibilité de dérogation au secret médical spécifiquement dédiée aux dérives sectaires ;
• exclusion des organismes condamnés pour dérives sectaires du bénéfice des dons ouvrant droit à des avantages fiscaux ;
• obligation des fournisseurs d'accès à internet (FAI) et des hébergeurs de contenus en ligne de concourir à la lutte contre les abus de faiblesse et le délit de sujétion.

Dérives sectaires : quoi de neuf ? - © Copyright WebLex

De plus en plus d'établissements et de lieux recevant du public proposent l'accès à un réseau internet public. Une offre qui emporte le respect de certaines obligations, notamment au regard des données et de leur conservation. Ce que vient de rappeler la CNIL, en ajoutant quelques précisions…

Réseaux internet publics : un régime spécial de conservation des données

Il est désormais commun de se voir proposer une connexion à un réseau internet publics dans différents lieux recevant du public.

Parfois gratuits, parfois payants, simples d'accès ou nécessitant une inscription, ces réseaux entrainent certaines obligations pour les entités qui les proposent, et notamment celle de conserver certaines des données relatives à l'utilisation de ces réseaux.

Sont visées plus précisément les données dites « techniques », c'est-à-dire :

• les adresses IP ;
• les dates et heures de connexion ;
• les durées de connexions ;
• etc.

Ces données pouvant servir à l'occasion d'enquêtes diligentées par les forces de l'ordre, ceux qui fournissent ces réseaux publics sont tenus de les conserver.

Pour autant, comme le rappelle la Commission nationale sur l'informatique et les libertés (CNIL), ces données restent des données à caractère personnel qui doivent faire l'objet d'une attention particulière.

C'est pourquoi il est nécessaire de limiter le traitement de ces données au strict minimum nécessaire. Ce qui implique notamment d'adapter la durée de conservation de ces données aux buts poursuivis.

La CNIL détaille donc les durées recommandées par type de données, qui vont dans ce cadre de 3 mois à 5 ans selon les cas.

La Commission rappelle également que conformément aux règles relatives aux données personnelles, les personnes concernées conservent des droits vis-à-vis de ces données (droit d'accès, droit de rectification, etc.) et peuvent se rapprocher du responsable de traitement pour les exercer.

Réseaux internet publics : le point sur les données - © Copyright WebLex

La Cour de justice de l'Union européenne vient préciser les conditions d'indemnisations de passagers ne se présentant pas à l'enregistrement en cas de vol tardif de plus de 3 heures de retard... Focus

Renoncement à se présenter à un vol tardif : attention !

Un passager aérien, en raison d'un retard important annoncé sur un vol réservé entre l'Espagne et l'Allemagne, a décidé de ne pas embarquer sur ce vol et ne s'est pas présenté à l'enregistrement. Finalement, ce vol arrive avec 3 heures et 32 minutes de retard.

Le passager a, quant à lui, réservé un second vol et atteint sa destination finale avec moins de 3 heures de retard par rapport à son heure d'arrivée initiale.

Le passager demande tout de même une indemnisation de son premier vol, au titre des 3 heures réglementaires de retard dépassé.

Le juge allemand se pose alors la question suivante : un passager ne se présentant pas à l'enregistrement d'un vol tardif peut-il tout de même être indemnisé ?

« Absolument pas ! », affirme le juge européen, qui considère que le passager, ne s'étant pas présenté à l'enregistrement, n'a pas subi un préjudice « sérieux » de perte de temps permettant l'ouverture d'une indemnisation forfaitaire.

D'autant que ce passager est arrivé à destination avec un second vol de remplacement, avec moins de 3 heures de retard…

Retard de vol : indemnisation automatique ? - © Copyright WebLex

Pour rappel, le Gouvernement a annoncé de nouveaux aménagements pour le diagnostic de performance énergétique (DPE), en raison d'incohérences pratiques engendrées par la réforme de 2021. Ces incohérences vont (enfin) prendre fin…

Rénovation énergétique des logements : un DPE (enfin) revu et corrigé !

Pour mémoire, afin d'améliorer l'efficacité de la rénovation énergétique des logements, le diagnostic de performance énergétique (DPE) a fait l'objet d'une réforme en 2021 : il s'agissait de fixer un seuil minimum de performance énergétique pour définir ce qu'est un « logement décent ».

Ainsi, pour qu'un logement soit considéré comme décent, il doit :

• depuis le 1er janvier 2023, avoir une consommation d'énergie exprimée en énergie finale, inférieure à 450 kWhEF/m²/an ;
• à partir du 1er janvier 2025, atteindre au moins la classe F du DPE ;
• à partir du 1er janvier 2028, atteindre au moins la classe E du DPE ;
• à partir du 1er janvier 2034, atteindre au moins la classe D du DPE.

Cette réforme a toutefois eu une conséquence négative imprévue : les logements de petites surfaces se sont retrouvés moins bien classés que la moyenne par le DPE, notamment en raison d'une consommation d'eau chaude sanitaire ramenée au m² plus importante.

De nouveaux aménagements du DPE ont donc été annoncés, visant à corriger les seuils de DPE pour les rendre plus équitables pour les logements d'une surface inférieure à 40 m² qui devaient être définis dans un arrêté ministériel à venir.

Cet arrêté vient de paraître : il est consultable ici. Notez que ces aménagements seront applicables à compter du 1er juillet 2024.

DPE : les assouplissements annoncés arrivent… - © Copyright WebLex

Pour pouvoir bénéficier des aides accordées par la Politique agricole commune (PAC), les agriculteurs doivent faire leur demande en ligne avant une certaine date. Un délai supplémentaire est accordé pour certaines aides. Qu'en est-il ?

PAC : un sursis pour les aides découplées

Le versement des aides accordées par la Politique agricole commune (PAC) suppose que les agriculteurs effectuent une télédéclaration à l'occasion de campagnes annuelles.

Effectuer leur télédéclaration en dehors des dates limites de ces campagnes exposent les professionnels à des pénalités de retard.

La campagne de télédéclaration pour 2024 devait prendre fin au 15 mai 2024. Cependant, le ministère de l'Agriculture et de la Souveraineté alimentaire a décidé de jouer les prolongations.

Ainsi, pour les aides liées à la surface, également appelées « aides découplées », la date limite de dépôt des dossiers est portée au 24 mai 2024.

Les autres types d'aides ne sont pas concernés par ce report.

PAC : prolongation des télédéclarations - © Copyright WebLex

Un défaut de construction dans une station-service permet à l'eau de s'infiltrer dans le carburant, causant finalement une perte d'exploitation de 4 ans pour l'exploitant de la station. Une perte indemnisable ? Pas si sûr, selon la société ayant construit la station-service, à la lecture du contrat la liant à l'exploitant…

Perte d'exploitation et responsabilité : il y a de l'eau dans le gaz !

L'exploitant d'un hypermarché confie à un constructeur la réalisation d'une nouvelle station-service. Dans les mois qui suivent son ouverture, de nombreux automobilistes se plaignent : une analyse est effectuée, et… surprise ! Une concentration d'eau anormalement élevée est retrouvée dans le carburant.

La société de construction intervient alors pour changer un joint défaillant dans la cuve, en précisant à l'exploitant de l'hypermarché qu'aucun contrôle n'est nécessaire avant la remise en fonctionnement de la station-service.

Pourtant, celle-ci va rester en arrêt plus de 4 ans, la teneur en eau du carburant étant toujours anormale…

C'est finalement l'intervention d'un tiers, qui va procéder à la vidange et au nettoyage de tous les compartiments de la cuve, qui va permettre sa remise en service.

Mécontent, l'exploitant de l'hypermarché, qui considère que le constructeur est responsable de cet arrêt, réclame une indemnisation pour l'ensemble des pertes subies pendant les 4 ans de fermeture de la station.

« Non ! », conteste le constructeur, qui rappelle, entre autres arguments, la présence d'une clause limitative de responsabilité jouant ici en sa faveur puisqu'elle exclut sa participation à d'éventuelles pertes d'exploitation si sa responsabilité décennale est engagée.

Sauf qu'une clause excluant ou limitant les responsabilités légales et les garanties prévues pour les constructeurs est illicite, réplique l'exploitant de l'hypermarché…

Ce que confirme le juge : la responsabilité de la société de construction étant bien engagée puisqu'elle a failli à son obligation de fournir une installation apte à délivrer de l'essence non polluée par de l'eau, l'exploitant de l'hypermarché a droit à une indemnisation !

Station-service : quand le carburant comporte de l'eau… - © Copyright WebLex

À travers une illustration pratique, la CNIL vient récemment de rappeler les actions à mener lorsque des données personnelles ont fait l'objet d'une violation. Voici la réaction appropriée à suivre, si cela devait vous arriver…

Violation des données personnelles : rappel de la marche à suivre

Pour permettre à tous les professionnels de comprendre et de prévenir les risques d'accès à des données personnelles par des tiers, la CNIL a publié un exemple pratique à travers un vol de supports et détournements de services dans le cadre scolaire.

Au-delà de l'illustration pratique, voici la démarche à suivre pour tout entrepreneur victime d'une violation de données.

• Étape 1 : le signalement 

La violation des données doit être remontée au délégué à la protection des données, le cas échéant, qui doit être notifiée à la CNIL dans les 72 heures qui suivent sa découverte. 

Une plainte auprès des forces de l'ordre est également à effectuer.

• Étape 2 : la documentation 

Les informations collectées à propos de la violation doivent être documentées, notamment à l'aide des prestataires informatiques. 

C'est à cette étape que la violation des données auprès de la CNIL est formellement réalisée. 

Cette notification est faite grâce aux procédures internes de gestion des incidents.

• Étape 3 : rétablissement des données

Il faut rétablir les données si vous disposez de sauvegarde ou d'une journalisation des actions effectuées sur l'espace victime d'une cyberattaque.

• Étape 4 : informer les personnes concernées

Dans certaines situations, il va falloir communiquer auprès des personnes concernées que leurs données personnelles font l'objet d'une violation. 

Pour cela, il faut rédiger un message rappelant des informations obligatoires : les circonstances de l'incident, la nature des données concernées, le point de contact pour avoir des informations supplémentaires, les mesures déjà prises et envisagées et les conséquences possibles pour les personnes concernées.

• Étape 5 : sensibilisation des équipes

Il faut réunir les collaborateurs pour leur faire part de la situation et les sensibiliser à la protection des données.

• Étape 6 : finalisation de la notification à la CNIL

Le cas échéant, il faut faire une notification complémentaire auprès de la CNIL pour lui transmettre les nouveaux éléments : la mise à jour du nombre de personnes concernées par la violation, le nombre de personnes informées et un modèle non nominatif du message adressé à ces dernières.

• Par la suite

Une fois ces étapes achevées, il va falloir mettre en place des actions de bonnes pratiques (si ce n'est pas déjà fait) pour éviter que la situation se reproduise :

• sensibiliser régulièrement vos clients et vos collaborateurs aux bonnes pratiques ;
• mettre en place des procédures de gestion des incidents ;
• s'assurer qu'une journalisation fine des accès et des actions est mise en place sur vos applications ;
• proposer une authentification multi-facteur ;
• etc.

Depuis 2018, les utilisations faites des données personnelles des Européens sont encadrées par le Règlement général sur la protection des données (RGPD). Il impose notamment aux entreprises souhaitant transférer des données à l'étranger de prendre des précautions importantes pour s'assurer que ces données ne courent aucun danger…

Publication d'un outil pour accompagner la création des BCR

Les données à caractère personnel des Européens font l'objet d'une protection exigeante depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018.

Ce texte impose des obligations à toutes les entités traitant ces données sur le territoire de l'Union européenne (UE), mais également dans des États tiers, dès lors que les données traitées sont relatives à des résidents européens.

Ainsi, lorsqu'une entreprise souhaite transférer des données vers une entité établie dans un État tiers à l'UE, elle se doit de vérifier le niveau de protection garanti dans cet État.

S'il est jugé insuffisant, le transfert n'est pas pour autant impossible, mais des précautions supplémentaires doivent être mises en place par l'entreprise.

Une des méthodes pouvant être employées est celle des règles d'entreprise contraignantes (abrégées en BCR pour Binding Corporate Rules). Elle s'adresse aux groupes d'entreprises implantés dans plusieurs États et prend la forme d'un référentiel qui engage toutes les entreprises du groupe concernant le traitement des données personnelles.

Une fois approuvées par les autorités nationales et européennes, les BCR permettent aux entreprises du groupe de transférer entre elles des données personnelles, peu importe leur situation géographique.

La Commission nationale de l'informatique et des libertés (CNIL) propose un nouvel outil pour permettre aux entreprises souhaitant soumettre un dossier d'approbation de BCR d'évaluer la recevabilité et la maturité de leur projet.

RGPD : évaluer ses règles d'entreprise contraignantes (BCR) - © Copyright WebLex

Pour fluidifier l'exercice de la médecine, les compétences de plusieurs professions paramédicales font l'objet de modifications afin d'être étendues. Une expérimentation qui concerne les infirmiers et qui a commencé début 2024 évolue déjà…

Infirmiers : généralisation de la signature des certificats de décès

Depuis janvier 2024, une expérimentation est en cours, permettant à certains infirmiers de signer des certificats de décès.

Les infirmiers ayant suivi une formation dédiée peuvent alors intervenir, en cas d'indisponibilité d'un médecin, pour constater le décès de patients intervenus à leur domicile ou en EHPAD.

L'expérimentation était initialement menée dans les régions suivantes :

• Auvergne-Rhône-Alpes ;
• Centre-Val de Loire ;
• Ile-de-France ;
• Hauts-de-France ;
• La Réunion ;
• Occitanie.

Dorénavant, elle est étendue à l'ensemble du territoire national et la condition de vérification de l'indisponibilité d'un médecin est supprimée.

Infirmiers : une expérimentation étendue - © Copyright WebLex

La gérante et associée majoritaire d'une SARL souhaite vendre son fonds de commerce. Pour cela, il lui faut l'accord des autres associés, ce qui suppose la réunion d'une assemblée générale. Sauf que les associés minoritaires, opposés à cette vente, contestent le choix du type d'assemblée réunie pour l'occasion. Pourquoi ?

Assemblées générales : une lettre qui change tout !

Une SARL a pour objet social l'exploitation de centres de remise en forme, de coaching, de consultation diététique, de vente de produits et accessoires forme et bien-être.

Elle est gérée par son associée majoritaire qui détient 51 % du capital, les 49 % restants étant détenus par 2 autres associés.

La gérante a pour projet de vendre le fonds de commerce. Or les statuts de la SARL prévoient que toute vente de fonds de commerce n'est possible qu'après accord des associés réunis en assemblée générale ordinaire (AGO).

Pour rappel, l'AGO est réunie au minimum une fois par an, notamment pour approuver les comptes de l'exercice écoulé. Comme les décisions sont prises à la majorité simple des associés, une AGO ne peut pas prendre de résolution qui modifie la structure de la société (objet social, capital, forme de la société, etc.).

Ces questions relèvent du domaine de l'assemblée générale extraordinaire (AGE). Puisque les points traités touchent la structure même de la société, les règles de majorité et de quorum (c'est-à-dire le nombre minimal d'associés devant être présents) sont plus strictes que celles d'une AGO.

Dans cette affaire, les statuts prévoient que la vente du fonds de commerce doit être autorisée dans le cadre d'une AGO. Autrement dit, une majorité simple des associés suffit pour obtenir l'autorisation.

La gérante convoque donc une AGO. Sauf que les 2 autres associés s'opposent au projet… Qu'à cela ne tienne, la gérante détient 51 % du capital social : elle obtient donc la majorité simple et l'accord pour vendre le fonds de commerce…

… un accord qui n'a aucun sens, pour les associés minoritaires, qui estiment que cette décision aurait dû être prise non pas en AGO, mais en AGE et donc, être votée à la majorité des ¾ des associés.

Pourquoi ? Parce que, toujours selon eux, cette vente aura pour conséquence de faire disparaître l'objet social de la société et nécessitera donc une modification des statuts de la SARL.

« Non ! », s'oppose la gérante. La vente d'un fonds de commerce relève explicitement, d'après les statuts, de la compétence d'une AGO. De plus, ce n'est pas parce que le fonds est vendu que la société ne pourra pas continuer son activité ! Il n'y a donc ni extinction de son objet social ni modification statutaire à prévoir.

« Vrai ! », tranche le juge en faveur de la gérante. Cette opération n'entraînant pas d'extinction de l'objet social de la SARL, la demande d'accord pour la vente du fonds relève bien de l'AGO (comme le prévoient les statuts) et non de l'AGE !

Vente de fonds de commerce = modification de l'objet social ? - © Copyright WebLex

La baisse de la circulation du virus de la grippe aviaire amorcée ces derniers mois semble se confirmer. Après une baisse du niveau d'alerte fin mars 2024, le niveau est de nouveau réévalué…

Influenza aviaire : tendance à la baisse confirmée

Après que le niveau de risque de grippe aviaire a été déclaré « élevé » sur l'ensemble du territoire métropolitain en décembre 2023, il a été abaissé à « modéré » le 18 mars 2024.

Depuis le 3 mai 2024, il est de nouveau abaissé pour atteindre le niveau « négligeable ».

Les obligations liées à la mise à l'abri des oiseaux d'élevages et à la chasse sont levées et les rassemblements de volailles sont de nouveau autorisés.

Grippe aviaire : les beaux jours sont là ! - © Copyright WebLex