+33 (0)4 42 70 07 03
Actualités juridiques

Retour à la liste

PINT Avocats Newsletter février 2022 - Google Analytics, Health Data hub, IPBox

Newsletter PINT Avocats

Février 2022

 

Ce mois-ci on vous parle de Roxane, du Health Data Hub, de fiscalité de l’innovation… De belles actualités ce mois-ci dans la PINT sphère !

 

- Actualité de PINT Avocats : l’équipe se renforce avec Roxane Zahedi, élève-avocat et future collaboratrice du cabinet, dont l’esprit « pump it up », l’enthousiasme, les compétences et le dynamisme nous ont séduites :

Titulaire du Master 2 en Droit de la propriété intellectuelle et nouvelles technologies de l’Institut de droit des affaires d’Aix-en-Provence, Roxane a intégré notre cabinet PINT Avocats pour son stage de fin d’études en septembre 2020. Elle a ensuite été admise à l’école des avocats l’an dernier. Roxane prêtera le serment d’avocat en janvier 2023.

 

Ces dernières semaines l’actualité est tournée vers les données sensibles, le Cloud, Microsoft, Google Analytics… et si vous êtes dans le flou concernant les problématiques que cela soulève, cette newsletter est pour vous !

Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a rendu l’arrêt dit « Schrems II » et s’est prononcée non seulement sur la validité des clauses contractuelles types (CTT) de la Commission européenne et sur leur utilisation en cas de transfert de données à caractère personnel vers un pays tiers mais également sur la validité de la décision rendue par la Commission européenne sur l’adéquation des Etats-Unis.

Ainsi, la CJUE consacre la validité des CTT mais fait peser sur le responsable de traitement de mettre en place des mesures supplémentaires pour assurer la protection des données dans les cas où le pays tiers écarte ou limite la portée des CCT.

Enfin, la CJUE jugé que l'accord de transfert de données entre les États-Unis et l'Union européenne « Privacy Shield » n'était pas conforme à la législation européenne sur la protection des données et a annulé l'accord en 2020, ce qui a rendu illégal la plupart des transferts de données vers les États-Unis.

En pratique, sur notre territoire français, cela a notamment eu comme conséquence l’arrêt du développement du Health Data Hub et compromet l’utilisation de Google Analytics.

 

- S’agissant du Health Data Hub, ou Plateforme des données de santé, cette dernière a été créé sous la forme d’un groupement d’intérêt public en 2019 avec des partenaires publics, mais également privés. 

Le but de cette plateforme est de récolter des données de santé, afin de favoriser la recherche médicale grâce à des intelligences artificielles.

Concrètement, et pour ceux à qui « Health Data Hub » » est difficile à appréhender (et à prononcer), des données relatives à la santé, entendues de manière large, vont être recueillies auprès de laboratoires de biologie médicale, de médecins de ville, de la caisse nationale d’assurance maladie, ou encore d’EHPAD afin, par exemple, de permettre aux chercheurs d’accéder aux données de santé afin d’enrichir des modèles d’intelligence artificielle, ou d’optimiser la personnalisation des traitements médicaux.

Le contexte actuel de la crise sanitaire faisant pression sur le développement du Health Data Hub, Microsoft a été choisi pour héberger les données relatives à la santé des français, et apparaissait comme l’entreprise qui répondait au mieux aux exigences de protection des données.

Rappelons ici à toutes fins utiles que Microsoft est une entreprise américaine, soumise à la législation américaine.

C’est dans ce cadre qu’un contrat a été conclu en avril 2020 avec le géant des GAMAM afin d’héberger les données recueillies par le Health Data Hub.

En juin 2020, des associations ont saisi le Conseil d’Etat en référé, afin d’alerter sur les éventuels risques de transferts des données personnelles vers les Etats-Unis.

Le Conseil d’Etat, dans son ordonnance, avait conclu qu’une atteinte grave et manifestement illégale aux droits fondamentaux ne pouvait être constatée, l’hébergement des données étant, dans le contrat, prévu aux Pays-Bas, pays européen soumis au RGPD (Règlement Européen sur la Protection des données).

Cette même juridiction administrative en profite pour rappeler qu’un transfert de données vers les Etats-Unis ne saurait être contraire à notre législation en matière de protection des données, les Etats-Unis bénéficiant, à l’heure actuelle, d’une décision d’adéquation de la Commission européenne, qui permet d’attester qu’un pays assure un niveau adéquat de protection des données.

Comme il en a été précédemment fait mention, revirement de situation dans l’arrêt Schrems II affirme que les Etats-Unis ne répondent manifestement pas aux standards de protection requis.

Cette décision semble, a priori, remettre en question celle du Conseil d’Etat.

 La sphère parlementaire semble enfin s’intéresser à la question de la protection des données sensibles des français que le Health Data Hub entend collecter et héberger sur le cloud Microsoft.

 Le 2 février 2022, une commission d’enquête du Sénat a auditionné Cédric O, secrétaire d’Etat chargé du Numérique, afin de comprendre le rôle de Capgemini, cabinet de conseil chargé de s’assurer des garanties nécessaires dans la confidentialité des données hébergées par Microsoft, qui a « quand même perçu 1,9 million d’euros sur ce dossier » déplore la rapporteure de la commission d’enquête reprochant un « un manque de transparence » au secrétaire d’Etat.

A l’heure actuelle, le Health Data Hub semble être en pause. Le groupement d’intérêt privé a retiré sa demande d’autorisation d’hébergement des données de santé auprès de la CNIL.

Le conseil de la Caisse nationale de l’assurance maladie, déjà peu rassuré par le choix du géant américain Microsoft pour assurer l’hébergement des données de santé s’est fait entendre à ce sujet, et propose de « faire un appel d’offre à la suite d’audit indépendant » pour héberger les données des français afin d’assurer une protection effective et transparente.

Le Health Data Hub est une plateforme dont l’objectif est de collecter les données relatives à la santé afin de dynamiser et faciliter la recherche médicale.

Les données relatives à la santé sont considérées comme des données sensibles et doivent faire l’objet à ce titre, d’une protection particulière prévue par le RGPD.

Microsoft, qui devait à l’origine héberger ces données, ne semble plus/pas répondre au degré de protection requis.

Mots-clés : Health Data Hub – e-santé – données personnelles

 

Autre conséquence de l’arrêt Schrems II : La CNIL s’est prononcée défavorable à l’utilisation de Google Analytics et met en demeure un gestionnaire de site web de se conformer au RGPD et au besoin, de ne plus utiliser l’outil Google.

 Juste avant cette décision, en décembre 2021, la CNIL autrichienne avait déjà rendu une décision aux termes de laquelle elle estime qu’un site internet qui collecte des données relatives notamment à la santé de ses utilisateurs et qui utilise les services de Google Analytics, ne se conforme pas au RGPD.

La décision se fonde sur plusieurs plaintes déposées par l'ONG autrichienne NOYB à la suite de l'arrêt "Schrems II" de la Cour européenne de justice.

Google a partiellement ignoré cette décision. Au cours de la procédure, Google a admis que « toutes les données collectées par Google Analytics [...] sont hébergées (c'est-à-dire stockées et traitées ultérieurement) aux États-Unis », ce qui inclut les utilisateurs européens.

En France, l’association INTERHOP a saisi la CNIL le 28 janvier 2022 concernant l’utilisation de Google Analytics notamment au regard des données sensibles que constituent les données relatives à la santé.

Actuellement, les acteurs e-santé tentent d’expliquer que l’utilisation de Google Analytics se fait uniquement au niveau de leur site internet « vitrine » de présentation de la société, ce qui n’impliquerait pas les données de santé.

Dans son communiqué du 10 février 2022, la CNIL rappelle que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle puisque même si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données.

La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD.

Elle met donc en demeure le gestionnaire de site concerné de mettre en conformité les traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.

Le Contrôleur européen de la protection des données (EDPS) a quant à lui conclu que le Parlement européen n’avait pas respecté la législation en autorisant des cookies de Google Analytics.

Ce dernier n’aurait pas pris les mesures nécessaires pour s’assurer que les transferts de données vers les États-Unis soient en accord avec l’arrêt de la cour de justice de l’Union.

A retenir : L’utilisation de Google Analytics à l’heure actuelle ne répond pas au niveau de protection des données requise par le RGPD.

Il faudra opérer un arbitrage entre le risque juridique et l’impact que cela peut avoir sur votre entreprise de ne plus utiliser Google Analytics ; de trouver une alternative à cet outil ; ou d’attendre une adaptation de ce dernier.

Mots-clés : Google Analytics – CNIL – RGPD – Données personnelles 

Affaire à suivre !

- L’IPBOX : La loi de finance de 2019 a mis en place un nouveau système d’imposition sur les revenus issus de la propriété intellectuelle.

L’objectif de ce dispositif fiscal est d’encourager les entreprises françaises à développer et à exploiter le fruit de leur propriété incorporelle.

Ce Patent Box à la française permet de faire bénéficier aux entreprises d’un taux réduit d’imposition de 10% (au lieu du taux légal habituel de 26 ,5%) sur les revenus tirés de la PI, dès lors qu’elles engagent des dépenses de R&D directement liées aux produits de propriété intellectuelle. 

Afin d’opter pour ce régime, les entreprises doivent répondre à un certain nombre de critères.

Entreprises concernées par IP BOX :

Sont visés par le régime optionnel les entreprises industrielles, commerciales, agricoles ou libérales qui relèvent de l’impôt sur les revenus, et des entreprises soumises à l’impôt sur les sociétés. Les sociétés de personnes et assimilées peuvent également bénéficier de ce régime favorable.

Actifs visés par IP BOX :

Les entreprises pourront appliquer ce régime fiscal pour les actifs issus des :

  • Brevets (au sens large, inclut les certificats d’utilité et les certificats complémentaires de protection rattachés à un brevet)
  • Procédés de fabrication industrielle
  • Les inventions brevetables non brevetées (à condition que la brevetabilité de l’invention ait été certifiée par l’INPI et que l’entreprise soit une PME)
  • Certificats d’obtention végétale
  • Logiciels

Opérations concernées par IP BOX :

  • Les redevances de cession, concession ou sous-concession
  • Les plus-values de cessions : à condition qu’il n’y ait pas de lien de dépendance entre le cédant et le cessionnaire.

Afin de bénéficier de l’avantage fiscal il faut :

  1. Calculer les revenus nets issus des actifs éligibles à l’IP BOX : à savoir Revenus bruts – Dépenses de R&D de l’année
  1. Etablir le ratio Nexus : à savoir la division suivante : dépenses de R&D en lien direct avec la création x 130% / totalité des dépenses de R&D en lien direct avec l’actif incorporel réalisé par l’entreprise
  1. Déclarer les revenus nets et leur appliquer le taux de 10 % d’imposition :  une fois le ratio Nexus obtenu, l’entreprise devra effectuer le calcul suivant : Revenus  nets (obtenus grâce au calcul revenus bruts – dépenses de R&D) x Ratio Nexus. C’est sur le résultat obtenu que le taux d’imposition réduit à 10% s’applique !

A retenir : L’IP BOX est un système d’impôt avantageux mis en place afin de soutenir la recherche et le développement de l’innovation des entreprises françaises.

Pour être éligible au dispositif, il faut structurer ses comptes afin d’identifier correctement les flux des revenus.

Le taux de taxation est réduit à 10% !

Mots-clés : Taxe de l’innovation – IPBOX – R&D