Les arnaques au RGPD : comment les éviter ?
Depuis son entrée en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) a donné naissance à de nouveaux escrocs : certaines personnes et sociétés malintentionnées profitent de cette nouvelle réglementation pour escroquer entreprises et particuliers. Bon nombre d’entreprises prétendent être des experts du RGPD, voire se faire passer pour la CNIL elle-même, pour convaincre leurs victimes et leur extorquer de l'argent.
Comment s’y retrouver parmi les professionnels du RGPD ?
De nombreuses sociétés se sont improvisées en tant que professionnels du RGPD : société de conseil, délégué à la protection des données externes, etc. La conformité au RGPD ne se résume pas à un document attestant que vous êtes conforme. Pour autant, des sociétés malveillantes peuvent vous vendre des services de conformité RGPD en vous communiquant seulement quelques documents. Cela est clairement insuffisant.
Respecter le RGPD demande des actions concrètes de votre part et ne se réalise pas en un claquement de doigt. Une société qui vous promet une conformité RGPD sans en apprendre sur votre entreprise, vos activités et comment de manière précise vous traitez les données personnelles, méfiez-vous !
Avant de répondre à ces demandes, renseignez-vous sur le parcours des professionnels et sur leurs expériences dans le milieu de la protection des données.
Prudence face aux usurpations de l’identité de la CNIL
Encore plus grave, des sociétés malveillantes peuvent usurper l’identité de la CNIL : Commission Informatique et Libertés, l’autorité chargée de veiller au respect des règles relatives à la protection des données personnelles.
En se passant pour la CNIL, ces sociétés peuvent vous solliciter de plusieurs manières :
- Vous contacter par courrier ou par mail en reprenant l’identité visuelle et les termes juridiques employés par la CNIL.
- Vous contacter par téléphone au nom de la CNIL ou pour une société agissant au nom de la CNIL.
De cette manière, ils proposent aux entreprises des services payants : assistance, conseil en protection des données, etc. Ils peuvent également vous informer que vous avez fait l’objet d’un manquement au RGPD, exigeant le paiement d’une sanction.
Plus vicieux encore : si une entreprise a déjà été sanctionnée par la CNIL, ils proposent des services vous permettant de prétendre à recevoir un remboursement des sommes versés.
Que faire en cas de doute ?
Vous êtes contacté par une société ou par la CNIL et vous avez un doute. Pas de panique, avant toutes choses, suivez ces conseils :
- Vérifiez l’identité de vos interlocuteurs : une délibération de la CNIL liste les agents de la CNIL habilités. Pensez à vérifier si votre interlocuteur est inscrit.
- La CNIL, comme toute autorité française, notifie formellement si vous faites l’objet d’une sanction. Vous ne devez pas être dans la contrainte urgente de procéder à un paiement.
- Sensibilisez le personnel sur ces pratiques
La DGCCRF rappelle quelques principes :
- La CNIL est seule habilitée à réaliser des contrôles auprès des professionnels. S’il est question d’une société mandatée par la CNIL, c’est mauvais signe.
- La CNIL ne propose pas de service payant de conseil ou d’accompagnement RGPD.
- La CNIL ne demande pas le paiement immédiat d’une sanction prononcée lors d’un contrôle.
- La CNIL ne demande pas vos coordonnées bancaires.
Vous en avez identifié un ?
Si vous avez été sollicité par une société malveillante, ou si vous avez versé de l’argent à un escroc, la DGCCRF vous donne quelques conseils.
Retrouvez les ici
