Très attendue, la loi portant diverses dispositions d'adaptation au droit de l'Union européenne (dite « DDADUE ») a été définitivement adoptée en avril 2024, mettant fin à l'épineuse question de l'acquisition des congés payés pendant les arrêts maladie de « droit...
Acte anormal de gestion : quand l’administration fiscale voit le mal partout !
Une SAS prend indirectement en charge la rémunération d’un salarié mis à disposition par son associée majoritaire pour exercer les fonctions de président de la société. Un « acte anormal de gestion » pour l’administration, qui lui réclame un supplément d’impôt. À tort...
Intérim : quelle sanction en cas de nullité du licenciement ?
Le juge rappelle régulièrement qu’en cas de nullité d’un licenciement, un salarié peut soit prétendre à sa réintégration dans l’entreprise, soit obtenir une indemnisation. Mais qu’en est-il pour le salarié mis à disposition ? Peut-il à la fois prétendre à...
RGPD : évaluer ses règles d’entreprise contraignantes (BCR)
Depuis 2018, les utilisations faites des données personnelles des Européens sont encadrées par le Règlement général sur la protection des données (RGPD). Il impose notamment aux entreprises souhaitant transférer des données à l’étranger de prendre des précautions...
Violation des données personnelles : comment réagir ?
À travers une illustration pratique, la CNIL vient récemment de rappeler les actions à mener lorsque des données personnelles ont fait l’objet d’une violation. Voici la réaction appropriée à suivre, si cela devait vous arriver… Violation des données personnelles :...
Vente de fonds de commerce = modification de l’objet social ?
La gérante et associée majoritaire d’une SARL souhaite vendre son fonds de commerce. Pour cela, il lui faut l’accord des autres associés, ce qui suppose la réunion d’une assemblée générale. Sauf que les associés minoritaires, opposés à cette vente, contestent le choix...
Professions libérales : et si vous décidez de renoncer à certaines recettes ?
Dans le cadre de contrats de collaboration, un masseur-kinésithérapeute met à disposition d’autres professionnels de santé des locaux appartenant à des SCI qu’il détient, en contrepartie du versement de redevances. Des redevances qui, au moins en partie, ont été...
Rapport des multinationales relatif aux impôts sur les bénéfices : tic, tac, tic, tac…
À compter du 22 juin 2024, certaines multinationales auront l’obligation de communiquer publiquement des informations relatives aux impôts sur les bénéfices qu’elles paient. Retour sur les règles introduites en France…Impôt sur les bénéfices : de nouvelles obligations...
Infirmiers : une expérimentation étendue
Pour fluidifier l’exercice de la médecine, les compétences de plusieurs professions paramédicales font l’objet de modifications afin d’être étendues. Une expérimentation qui concerne les infirmiers et qui a commencé début 2024 évolue déjà…Infirmiers : généralisation...
Échantillons gratuits : pour tester, il faut réclamer !
Petits flacons de crèmes, de shampoing, savonnettes et autres produits ménagers… Ces échantillons donnés aux consommateurs pour tester de nouveaux produits ne seront plus systématiquement distribués. Pour en bénéficier, il faudra dorénavant en faire la demande....
Données personnelles et intelligence artificielle (IA) : la CNIL recommande 2 normes ISO
Les outils d’intelligence artificielle connaissent un grand essor qui va prochainement donner lieu à un premier cadre juridique en Europe : l’IA Act. En attendant son application, la CNIL rappelle l’existence des normes ISO/IEC 27701 et 42001 qui permettent de protéger les données personnelles…
Des normes pour protéger les données personnelles !
En matière de sécurité informatique, il existe 2 normes internationales :
la norme ISO/IEC 27001, qui certifie un « système de management de la sécurité de l’information » ; la norme ISO/IEC 27002, qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.
Pour compléter ces normes et afin de renforcer la protection des données personnelles, la CNIL recommande la lecture de 2 normes ISO (attention, l’accès est payant).
En premier lieu, la norme ISO/IEC 27701, qui a vu le jour en 2019 et définit :
un « système de management de la protection de la vie privée » étendu pour inclure les particularités des traitements de données personnelles : détermination du rôle de l’organisme à certifier (responsable de traitement, sous-traitant) ; gestion unifiée des risques informatiques pour l’organisme et des risques pour la vie privée des personnes, désignation d’un responsable pour la protection de la vie privée ; sensibilisation des personnels, classification des données, protection des supports amovibles, gestion des accès et chiffrement des données, sauvegarde des données, journalisation des événements ; conditions des transferts de données, protection de la vie privée dès la conception et par défaut (privacy by design and by default), gestion des incidents ; conformité aux exigences légales et réglementaires, etc. ; des mesures spécifiques aux traitements de données personnelles, en tenant compte du rôle de l’organisme (responsable de traitement, sous-traitant, sous-traitant de sous-traitant) : principes fondamentaux : finalité de traitement, base légale, recueil et retrait du consentement, inventaire des traitements, évaluation des impacts pour la vie privée ; droits des personnes : information, accès, rectification, suppression, décision automatisée ; protection de la vie privée dès la conception et par défaut (privacy by design and by default) : minimisation, dé-identification et suppression des données, durée de conservation ; contrats de sous-traitance, transferts et partage de données.
En complément, la CNIL recommande la lecture de la norme ISO/IEC 42001, qui a été publiée en décembre 2023, et qui définit un « système de management pour l’intelligence artificielle » destiné aux organismes qui fournissent ou utilisent des systèmes d’intelligence artificielle (IA).
Cette norme s’attache à décrire le processus pour gérer les préoccupations liées à la fiabilité des systèmes d’IA : sécurité, sûreté, équité, transparence, qualité des données et des systèmes tout au long du cycle de vie.
En outre, elle donne des mesures opérationnelles et des recommandations pour les mettre en œuvre.
Données personnelles et intelligence artificielle (IA) : la CNIL recommande 2 normes ISO – © Copyright WebLex