Se protéger des arnaques de la « Mise en conformité au RGPD »
Le RGPD (Règlement général sur la protection des données personnelles) est entré en vigueur le 25 mai 2018 pour protéger les libertés et droits fondamentaux des personnes physiques et s’applique à l’ensemble des États membres de l’Union européenne. Ce nouveau règlement a pour objectif de renforcer les droits des personnes et responsabiliser tous les acteurs traitant des données à caractère personnel. Mais attention, des sociétés profitent de l’occasion pour démarcher les entreprises, administrations et associations afin de vendre un service d’assistance à la mise en conformité au RGPD en utilisant des pratiques commerciales trompeuses, et parfois agressives.
Faisons un point sur cette arnaque et les conseils de la CNIL (Commission nationale de l’informatique et des libertés) et de la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) pour s’en prémunir.
Le rôle essentiel du nouveau règlement européen sur la protection des données personnelles
La mondialisation et l’avènement des nouvelles technologies ont profondément transformé l’économie et surtout facilité le libre flux des données à caractère personnel dans le monde entier. Désormais, les entreprises peuvent facilement collecter et partager des données personnelles dans le cadre de leurs activités et leur quête permanente de profits.
Les données personnelles désignent toutes les informations susceptibles d’identifier directement ou indirectement une personne physique, à savoir le nom, le prénom, l’âge, le sexe, l’adresse postale, l’email ou l’adresse IP, le numéro de téléphone, le temps de connexion, les données de localisation ou encore les données biométriques (empreintes digitales par exemple).
Par conséquent, le Parlement européen et le Conseil de l’UE (Union européenne) ont décidé de mettre en œuvre le RGPD afin de respecter les libertés et droits fondamentaux, plus particulièrement le droit à la protection des données à caractère personnel, de chaque personne physique, quel que soit sa nationalité ou son lieu de résidence.
Toutes les structures exploitant des données personnelles sont concernées par le RGPD
Le RGPD est entré en vigueur dans les États membres de l’Union européenne le 25 mai 2018 et remplace la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
L’objectif principal est d’harmoniser les 28 législations existantes sur les 99 dispositions du RGPD pour éviter que des entreprises ne profitent des failles locales afin d’échapper aux règles de l’UE d’un pays à l’autre.
Cette nouvelle réforme européenne s’applique à toutes les entreprises, les associations, les organismes publics, ou encore les sous-traitants qui ont un système basé sur l’exploitation des données personnelles. Ainsi, toutes les entreprises européennes et non européennes, quelle que soit leur taille (TPE, PME, multinationale, etc.), qui exploitent les données recueillies auprès des 512 millions de citoyens européens, seront dans l’obligation de respecter les nouvelles règles juridiques en matière de collecte, de traitement, de conservation et de sécurisation des données personnelles.
Seules les entreprises qui n’exploitent aucune donnée concernant les ressortissants européens ne sont pas visées par ce règlement.
Les actions à mener par les professionnels pour être conforme
Selon la CNIL (Commission nationale de l’informatique et des libertés), les différentes structures exploitant des données personnelles doivent obligatoirement « assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité ».
Afin de répondre efficacement aux obligations légales de conformité, les structures doivent mettre en place différents procédés.
Il est nécessaire de désigner un DPO (Délégué à la protection des données) pour assurer la conformité au RGPD au sein de l’organisme. Ce véritable chef d’orchestre a pour mission d’informer, de conseiller et de contrôler l’application des textes légaux et des règles internes en ce qui concerne les données personnelles. Il va également être le lien entre la structure et les autorités de contrôle comme la CNIL.
Pour chacun des traitements réalisés sur les données personnelles, les structures doivent identifier les actions à mener et les classer en fonction des risques élevés pour les droits et libertés des personnes ciblées.
Après avoir identifié les traitements potentiellement risqués, les organismes doivent gérer les risques et mener une AIPD (Analyse d’impact relative à la protection des données), également appelée PIA (Privacy Impact Assessment), pour chacun de ces traitements.
Afin d’assurer une protection optimale des données personnelles à chaque instant, il est indispensable de constituer des procédures internes. L’objectif est de sensibiliser et former l’ensemble de l’équipe sur les nouvelles procédures mises en place. En effet, il faut tenir compte de l’ensemble des évènements qui sont susceptibles de survenir au cours de la vie d’un traitement : la gestion des demandes d’accès ou de rectification, les failles de sécurité, la modification des données collectées ou encore le changement de prestataire.
Pour prouver leur conformité au règlement et assurer une protection des données en permanence, les organismes sont obligés de constituer et regrouper une documentation précise. Celle-ci comprend un registre sur le traitement des données personnelles (analyse d’impact relative à la protection des données, registre de traitement, transfert des données hors UE), un document sur les informations des individus (consentements, mentions informatives, droits exercés), et un document sur les différents contrats de la structure (preuve des consentements, contrats avec les sous-traitants, procédures mises en place quand les données sont violées). Ils doivent réexaminer et actualiser régulièrement les actions et documents réalisés à chaque étape.
Des escrocs offrent leur service pour aider les professionnels à être conformes au RGPD
Des groupes très organisés profitent de l’entrée en vigueur du RGPD pour démarcher des professionnels (associations, entreprises, administrations), de manière agressive dans certains cas, dans le but de vendre un faux service d’assistance à la mise en conformité au nouveau règlement européen sur la protection des données.
L’arnaque est bien élaborée. Elle consiste à envoyer un courrier ou un mail à des professionnels et les faire paniquer pour leur soutirer de l’argent. Par exemple, de nombreuses petites entreprises ont reçu un courrier qui indiquait que leurs fichiers clients étaient hors-la-loi depuis la nouvelle législation sur la protection des données personnelles et qu’elles risquaient de payer une amende de 20 millions d’euros ou 4 % de leurs chiffres d’affaires.
Mais une solution est proposée dans la lettre pour suspendre cette sanction lourde et régulariser la situation, les professionnels doivent composer un numéro de téléphone. À l’autre bout du fil, les escrocs prétendent travailler pour un service de l’État en charge de la mise en conformité au RGPD et demandent des centaines d’euros aux professionnels pour « être conforme à la nouvelle législation » (le montant peut s’élever à plus de 700 euros).
Cette énième arnaque vise essentiellement les médecins, les commerçants, les artisans, les TPE, les PME... Chaque jour, plusieurs dizaines d’appels de personnes ciblées par ces escrocs sont reçus par la CNIL.
Les conseils de la CNIL et la DGCCRF pour se prémunir de ces pratiques commerciales trompeuses
Pour se protéger contre cette escroquerie, la CNIL et la DGCCRF tiennent à prodiguer quelques conseils avisés.
Dans un premier temps, il est primordial de vérifier l’identité des entreprises qui effectuent le démarchage auprès des professionnels. Il faut savoir qu’aucune entreprise mandatée par les pouvoirs publics ne propose des prestations onéreuses de mise en conformité au RGPD.
Dans un deuxième temps, les professionnels doivent vérifier la nature des services proposés. Un simple échange ou l’envoi d’une documentation est loin d’être suffisant pour la mise en conformité au RGPD. Ce procédé nécessite l’intervention d’un professionnel qualifié en protection des données personnelles qui accompagne vraiment la structure afin d’identifier les différentes actions à mettre en œuvre et garantir leur suivi de façon permanente.
Attention, il est nécessaire de rester vigilant, car ce démarchage peut être une simple manœuvre pour collecter des informations sur une société, en vue d’une cyberattaque ou d’une arnaque.
Les principaux réflexes à adopter en cas de démarchage
Si un professionnel est sollicité par ces entreprises frauduleuses, il doit demander systématiquement des informations sur l’identité de la société démarcheuse pour effectuer des vérifications auprès des syndicats de sa profession ou sur internet.
Il faut se méfier des entreprises utilisant des communications qui prennent la forme d’une information officielle provenant d’un service public.
Il est important de lire attentivement les dispositions contractuelles ou pré-contractuelles, d’analyser soigneusement l’offre et de prendre le temps de la réflexion. Ne surtout pas se précipiter.
Les services et personnels de l’entreprise amenés à traiter ce type de courrier doivent être informés de ces conseils de vigilance.
Enfin, les professionnels démarchés ne doivent en aucun cas payer une somme d’argent. Dans une interview accordée à France 2, Fatima Hamdi, chef du service relations avec les publics à la CNIL, a précisé qu’« aucun service public ne procède de cette manière. Surtout ne jamais payer pour stopper une action contentieuse. »
Si vous êtes victime de ce démarchage frauduleux ou souhaitez des informations complémentaires, n’hésitez pas à contacter directement la DDPP (Direction départementale de la protection des populations) ou la DDCSPP (Direction départementale de la cohésion sociale et de la protection des populations) de votre département de résidence.
