La revue

www.efta.int/EEA/news/General-Data-Protection-Regulation-GDPR-entered-force-EEA-509576
 
L’Espace Économique Européen ou « EEE » est constitué par les États membres de l’Union Européenne (actuellement 28 États jusqu’au Brexit) et trois des quatre États membres de l'Association européenne de libre-échange (AELE), à savoir : l'Islande, la Norvège et le Liechtenstein (le quatrième membre de l’AELE étant la Suisse). Les États membres de l'EEE non-membres de l'UE ont consenti à adopter une législation similaire à celle passée dans l'Union dans les domaines de la politique sociale, de la protection du consommateur, de l’environnement, du droit des affaires et des statistiques.
 
Le Règlement Général sur la Protection des Données « RGPD », qui est entré en vigueur dans l’UE le 25 mai 2018, est un texte qui « présente un intérêt pour l’EEE », à savoir, qui peut être étendu aux 3 États si le texte incorporé dans l' « Accord EEE », par une décision du Comité Mixte de l’EEE est adopté. Cette décision a été prise à Bruxelles le 6 juillet 2018. Le RGDP est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.
 
Par ailleurs l’Islande a adopté une nouvelle loi n° 90/2018 sur la protection des données personnelles et le traitement des données personnelles.  
 
Cela signifie notamment que les transferts de données personnelles vers ces 3 pays ne requièrent pas de mesures supplémentaires de sauvegarde ou encore que les violations de données personnelles devront, le cas échéant, faire aussi l’objet d’une notification dans ces pays.

Certains points doivent encore être clarifiés. Nous comprenons par exemple que l’Islande, la Norvège et le Liechtenstein devraient pouvoir bénéficier du mécanisme du guichet unique et participer aux réunions du Comité Européen de la Protection des Données « CEPD », mais sans nécessairement avoir un droit de vote, ce qui va soulever un certain nombre de questions. Nous sommes dans l’attente des règles du CEPD sur certains de ces sujets.
 

- Cass 2e civ. 15 mars 2018, n°17-10.325 et n°17-11.336
- Cass. 2e civ. 21 juin 2018 n° 17-19-432 F-PB  et n° 17-19-773 F-PB

La Cour de cassation a longtemps adopté une lecture restrictive des dispositions légales encadrant le régime social des sommes versées au salarié à l’occasion de la rupture de son contrat de travail : toutes les sommes versées au salarié autres que celles précisément listées à l’article 80 duodecies du CGI, auquel renvoie l’article L. 242-1 du Code de la sécurité sociale, devaient ainsi être assujetties à l’ensemble des cotisations sociales applicables, y compris lorsqu’elles étaient versées dans le cadre d’une transaction afin de réparer un préjudice allégué par le salarié et mettre ainsi un terme à tout litige entre les parties.

Selon cette lecture restrictive, une indemnité transactionnelle versée à un salarié après la rupture anticipée d’un CDD pour faute grave devait par exemple automatiquement être assujettie à cotisations sociales, la Cour de cassation statuant en effet expressément que « les sommes accordées, même à titre transactionnel, en cas de rupture anticipée d'un contrat de travail à durée déterminée ne sont pas au nombre des celles limitativement énumérées par l'article 80 duodecies du code général des impôts auquel renvoie l'article L. 242-1 du Code de la sécurité sociale » (Cass. 2^e civ. 7 octobre 2010 n° 09-12.404 FS-PB).

Dans deux arrêts rendus le 15 mars 2018[1], la Cour de cassation a fait évoluer sa jurisprudence de manière significative et remarquée, en visant à deux reprises le même attendu de principe, selon lequel : « il résulte (…) de l'article L. 242-1 du code de la sécurité sociale que les sommes versées au salarié lors de la rupture du contrat de travail autres que les indemnités mentionnées au dixième alinéa, dans sa rédaction applicable à la date d'exigibilité des cotisations litigieuses, sont comprises dans l'assiette des cotisations de sécurité sociale et d'allocations familiales, à moins que l'employeur ne rapporte la preuve qu'elles concourent, pour tout ou partie de leur montant, à l'indemnisation d'un préjudice ».
 

Depuis un arrêt fondateur rendu le 24 février 2003 par la chambre mixte de la Cour de cassation[1], l’engagement d’une procédure judiciaire en méconnaissance d’une clause de conciliation préalable constitue une fin de non-recevoir entraînant l’irrecevabilité du recours.

Cette fin de non-recevoir ne peut faire l’objet d’une quelconque régularisation par la mise en œuvre de la clause prévoyant la procédure amiable en cours d’instance[2].

La question s’est néanmoins posée s’agissant de l’articulation entre une clause instaurant une procédure amiable préalable et la formulation d’une demande reconventionnelle par la partie défenderesse.

Deux arrêts récents de la Cour de cassation, publiés au bulletin, répondent à cette question.

CJUE 12 juin 2018, aff.C-650/16, A/S Bevola

Il s’agissait ici d’une société danoise dont la succursale en Finlande avait fermé. La société danoise avait demandé la déduction des pertes de sa succursale sur le revenu imposable au Danemark, ce que l’administration fiscale avait refusé au motif notamment que ces pertes auraient pu être utilisées si la société danoise avait opté pour le régime de l’intégration fiscale internationale.

C’est dans ce cadre que le juge danois a posé à la CJUE une question préjudicielle sur la conformité de la loi danoise avec la liberté d’établissement en Europe.

Cette question avait déjà été soulevée dans le cadre des affaires Marks and Spencer (CJCE 13-12-2005 aff. 446/03), Lidl Belgium (CJCE 15-5-2008 aff. 414/06) et Nordea Bank (CJUE 17-7-2014 aff. 48/13).

Par la présente décision, la CJUE a précisé les conditions de cette imputation. En ressortent deux conditions : (i) l’établissement stable doit avoir épuisé les possibilités d’imputation des pertes dans son État d’établissement et (ii) il n’existe pas de possibilité que ces pertes soient prises en compte dans cet État au titre d’exercices futurs par elle-même ou par un tiers.

Sous réserve de son interprétation par l’administration fiscale française, cette solution qui pourrait être transposée dans le cas d’une société française, ouvre des perspectives aux sociétés françaises ayant des établissements stables européens.
 

Le Règlement général sur la protection des données (RGPD) applicable depuis le 25 mai dernier, modifie le régime juridique des traitements portant sur des données biométriques. L'article 9 du RGDP pose le principe général de l'interdiction d'utiliser des données biométriques aux fins d'identifier une personne physique de manière unique. L’une de ces exceptions concerne les traitements « nécessaires aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail (…) dans la mesure où ce traitement est autorisé par (…) le droit d'un État membre ».

La Loi Informatique et Libertés a été modifiée en Juin 2018 pour accompagner le RGPD. Les nouvelles dispositions prévoient que des dispositifs de contrôle d'accès biométriques (« qui portent sur des données biométriques strictement nécessaires au contrôle de l'accès aux lieux de travail ainsi qu'aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires » peuvent être mis en place par des employeurs à condition d'être conformes à un règlement type élaboré par la CNIL.  La loi précise que le règlement type est élaboré « en concertation avec les organismes publics et privés représentatifs des acteurs concernés ».

La CNIL a donc lancé une consultation publique le 3 septembre sur le projet de règlement type « biométrie au travail ». La consultation est ouverte jusqu'au 1er octobre 2018. Le projet modifié, tenant compte des observations recueillies, sera ensuite soumis à l’examen de la séance plénière de la CNIL.

Pour accéder au projet de règlement ou participer à la consultation, veuillez cliquer sur le lien : www.cnil.fr/fr/biometrie-sur-le-lieu-de-travail-la-cnil-lance-une-consultation-publique-sur-le-futur-reglement-type