Arnaques au RGPD, redoublez de vigilance !

Le règlement général sur la protection des données (RGPD) a fait couler beaucoup d’encre, lors de son entrée en vigueur le 25 mai 2918. Toutes les entreprises n’avaient pas réellement pris la mesure de la mise en conformité avec le RGPD. Encore maintenant de nombreuses incertitudes subsistent quant à sa mise en oeuvre pratique. Profitant de ce nouveau paradigme, des personnes malintentionnées en ont profité pour multiplier les arnaques au RGPD. Chantage, extorsion de fonds, fausses amendes etc. L’équipe de Clic Formalités vous donne toutes les clés pour détecter ces escroqueries et réagir en conséquence.

 

 

I. Application du RGPD obligatoire : champ d’application (rappel)

Déjà 6 mois que le règlement général sur la protection des données, plus connu sous le nom du RGPD, est entré en application en France.
Un grand nombre d’organismes, de sociétés, ont été impactés par cette nouvelle réglementation qui peut s’avérer complexe à mettre en oeuvre.  Cette “révolution” de la protection des données a chamboulé l’organisation et le traitement des données au sein des entreprises. La mise en place du RGPD est une opportunité pour les entreprises qui ont su s’en saisir.

1. Qui est concerné par le RGPD ?

Toutes les entreprises qui ont à traiter des données personnelles, permettant d’identifier des personnes physiques, sont concernées par le RGPD. Peu importe la taille, que votre structure soit une TPE, PME vous pouvez être impacté par le RGPD.
Le champ d’application du règlement doit être envisagé de 2 façons :
– de façon territoriale : le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne.
– de façon personnelle : le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant non établi au sein de l’Union européenne, vise directement un résident européen par un traitement de données, y compris par Internet.

2. Les 4 plus du RGPD :

# 1 Consolidation des liens de confiance entre l’entreprise et ses clients
Confier des informations personnelles, des données confidentielles à une entreprise génère de facto un lien entre l’utilisateur/client et l’entreprise qui collecte ces informations. Savoir qu’une entreprise est sensibilisée à la protection des données, qu’elle est en conformité avec le RGPD contribue à valoriser son image.

# 2 Gain en productivité et en temps
Une bonne gestion des données clients, une mise à jour régulière des informations les concernant, sont autant actions qui permettent d’améliorer l’efficacité commerciale.

# 3 Meilleure gestion au sein de l’entreprise
Le développement de l’activité de votre entreprise va en général de pair avec celui des données recueillies. L’article 5 du RGPD dispose que les données recueillies sur une personne doivent être : “pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”. En d’autres termes, seule la quantité minimum de données doit être conservée pour une finalité précise du traitement. Cette règle est appelée “principe de minimisation”. Il peut être combiné au principe de limitation de la conservation des données.
S’ils sont respectés dans le cadre de la protection des données, ils ont également un intérêt pour l’entreprise. En effet, ils obligent à la mise en place et/ou l’optimisation des process de votre entreprise et donc à une meilleure gestion de la data qui impacte nécessaire l’activité économique.

# 4 Meilleure sécurisation des données de votre société
Si les données personnelles récoltées sont stratégiques pour l’entreprise, elles sont également de plus en plus souvent la cible de cyberattaques. Elles doivent donc faire l’objet de mesures de sécurité particulières. Le vol, la divulgation de données personnelles ne doivent pas être pris à la légère et peuvent durablement affecter votre business. Sécuriser les données de votre entreprise revient à protéger votre patrimoine informationnel.

Parallèlement à la mise en place du RGPD, s’est également développé un immense business de la protection des données et de la conformité au RGPD. Les entreprises soucieuses d’être en règle avec ce règlement sont de plus en plus sollicitées par des organismes, des experts, etc. S’est alors engouffrée une nouvelle catégorie d’escrocs : les vrais faux professionnels de la mise en conformité RGPD !

 

II. Développement des arnaques : restez vigilants !

Les sanctions en cas de non conformité au RGPD sont particulièrement lourdes. Des amendes administratives peuvent en effet être prononcées par la CNIL, autorité de contrôle des données en France. Suivant la catégorie de l’infraction, la sanction administrative peut atteindre les 10 ou 20 millions d’euros, ou dans le cas d’une entreprise de 2% à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Ces sanctions peuvent avoir des conséquences catastrophiques pour la pérennité de l’entreprise. Cette peur a été le terreau d’un grand nombre d’arnaques.  

1. Quelles sont les arnaques les plus courantes ?

# Des personnes mal intentionnées se font passer pour des agents de l’Etat et vous menacent de sanctions financières importantes pour non conformité au RGPD, à moins de réagir grâce à une pseudo-mise en conformité RGPD payante.

# Le chantage peut également être une arme redoutable pour vous extorquer de l’argent. La technique est simple et efficace : vous recevez un message vous alertant que vos données ont été piratées, qu’il y a donc une faille dans votre système et qu’ainsi vous n’êtes pas en conformité avec le RGPD. L’entreprise doit en effet prendre les mesures nécessaires pour garantir la sécurité des données. L’article 34 de la loi informatique et liberté résume cette obligation : “ Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

# Des manœuvres pour collecter des informations sur votre société en vue d’une escroquerie ou d’une attaque informatique. Vous pouvez en effet recevoir un courrier vous demandant de transférer votre registre de données afin de voir si celui est bien conforme au RGPD. Cette mine d’informations peut par la suite être utilisée à des fins malveillantes.

2. Comment reconnaître les arnaques ?

# La prise de contact avec l’entreprise cible de l’arnaque peut être variable. Vous pouvez recevoir : un fax, un e-mail, un courrier, un coup de fil.
# La forme du courrier est souvent trompeuse : des éléments officiels sont utilisés pour tromper la vigilance et vous rassurer : sigle officiel du service public, cocarde française,  drapeau européen, etc.
# La menace d’une sanction financière importante est très souvent mise en avant. Votre arnaqueur joue sur la peur du gendarme.
# On vous propose la solution miracle et une prise de contact par mail ou par téléphone.
# Moyennant finances, une solution clé en main vous est “offerte” pour répondre en tout point à la mise en conformité au RGPD.

3. Comment réagir ?

  • Les bons réflexes à avoir :

# Ne pas répondre ;
# Ne surtout pas payer la moindre somme d’argent ;
# Alerter son réseau ;
# Prendre contact avec la CNIL ou Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour obtenir des informations ou signaler le problème.

  • Les conseils pratiques de la CNIL

La CNIL propose un certain nombre de conseils pratiques à mettre en oeuvre pour sécuriser les données et anticiper les arnaques. Elle préconise notamment 4 actions à mettre en place pour se conformer au RGPD :

# La constitution d’un registre de traitements des données; le but est de recenser les fichiers et d’avoir ainsi une vision globale des traitements des données.

#  Le tri dans l’ensemble des données recueillies ; éliminer les données non pertinentes, non nécessaires. Mettre en place de nouveaux process de collecte, d’archivage, et de destruction des données.

# Le respect des droits des personnes : se poser les bonnes questions :

– Pourquoi collecter ces données ?
– Qui a accès à ces données ?
– Ai-je le droit de traiter ces données (ai-je obtenu le consentement de la personne concernée, ou est-ce une obligation légale ou mon “intérêt légitime”) ?
– Combien de temps puis-je les conserver ?
– Comment les personnes concernées peuvent avoir accès à leurs données ?

# La sécurisation des données : mise en place de mesures adéquates, adaptées, proportionnées pour la sécurisation des données. Cette sécurisation passe par exemple par une mise à jour des logiciels antivirus, la sécurisation des mots de passe, le chiffrement des données, etc.
En cas de cyberattaques, le site https://www.cybermalveillance.gouv.fr/ vous propose de l’aide en ligne et vous guide dans les démarches à entreprendre.

 

Le moyen d’être sauf, c’est de ne pas se croire en sécurité”. (Thomas Fuller). Sans tomber dans la paranoïa, les responsables de traitement de données quels qu’ils soient, organismes publics, associations, sociétés, entreprises, tous doivent mettre les moyens nécessaires à la protection des données personnelles. Les failles de sécurité, informatiques et humaines sont des interstices qui doivent être surveillés et comblés pour éviter toute déconvenue. La pédagogie est un levier intéressant que chaque structure devrait utiliser pour expliquer les enjeux de la sécurisation des données et présenter les bonnes pratiques à mettre en oeuvre quotidiennement.

Sources :

https://www.cnil.fr/fr/pratiques-abusives-mise-en-conformite-RGPD-CNIL-DGCCRF
https://www.economie.gouv.fr/entreprises/arnaques-rgpd
https://www.economie.gouv.fr/dgccrf/pratiques-abusives-mise-en-conformite-rgpd-comment-sen-premunir