La Cnil alerte les entreprises sur les tentatives frauduleuses menées sous couvert de « mise en conformité RGPD ». Pour déjouer ce type d’agissements, il faut se garder de tout intervenant se disant « labellisé », « mandaté » ou « recommandé » par la Cnil et procéder à quelques vérifications approfondies.
08/02/2018 Entreprise & Carrières
SUR LE MÊME THÈME
À trois mois de la date d’application du règlement général sur la protection des données (RGPD), la Cnil (Commission nationale informatique et libertés) lance l’alerte. Elle a en effet été informée que des entreprises « peu scrupuleuses » cherchent à prendre contact avec des petites entreprises, par téléphone ou par fax, afin de leur proposer une prestation « clé en main » capable de garantir la conformité avec le RGPD. Destiné à améliorer la protection des données personnelles des personnes physiques, ce règlement s’inscrit dans la même philosophie que les textes existants, en l’occurrence la loi « informatique et libertés » de 1978 et la directive européenne de 1995. Il apporte cependant un certain nombre d’améliorations et de nouvelles obligations pour les entreprises (lire l’encadré).
Numéro surtaxé ou engagement frauduleux
L’élément le plus connu de ce nouveau texte est le montant des sanctions possibles, les plus élevées jamais appliquées dans le domaine de la protection des données personnelles. Les personnes proposant par téléphone une « mise en conformité » cherchent donc d’abord à alarmer leurs correspondants en brandissant la menace de ces pénalités financières inédites. Certains de ces intervenants se présentent comme étant « labellisés », « mandatés » ou « recommandés » par la CNIL, voire d’en faire partie.
La plus grande vigilance est nécessaire. Les aigrefins qui cherchent à tirer profit du manque d’information des dirigeants de petites entreprises mobilisent en effet des moyens parfois conséquents pour inspirer confiance. Ainsi, certains appels peuvent émaner d’une société véritablement immatriculée au RCS et qui dispose d’un site internet faisant d’ailleurs largement référence à la Cnil. Ces artefacts n’ont d’autre but que de donner à ces intervenants une apparence de légalité et d’expertise juridique.
Ces messages, indique la Cnil, « peuvent avoir pour but de vous faire appeler un numéro de téléphone surtaxé, de vous faire signer un engagement frauduleux pour une « mise en conformité Informatique et libertés (ou RGPD) » ou de collecter des informations sur votre organisation pour préparer une escroquerie ou une attaque informatique ».
Avant tout, la Cnil recommande aux entreprises de chercher en ligne des informations sur la société qui prend contact avec elles. « Il faut regarder leur date de création, confirme Xavier Leclerc, créateur de la société DPMS en 2016, spécialisée dans la protection des données personnelles, et fondateur de l’Union des Data Protection Officer (DPO). Assurer la mise en conformité RGPD ne s’apprend pas en trois mois ou même en un an. » D’autres signes doivent susciter la méfiance, ajoute Xavier Leclerc : « Un professionnel de la mise en conformité ne commencera jamais par un audit. » Il préconise également de procéder à des vérifications simples : « Un dirigeant peut aussi demander ce que comptent faire ces personnes et leur demander quels outils il faudra enregistrer. C’est une question piège évidemment puisque le RGPD n’exige aucun enregistrement d’outil, quel qu’il soit, mais de la finalité du traitement dont l’outil est un instrument.