En ce moment, des « arnaques au RGPD » se multiplient sur les réseaux , par courriel, par téléphone, par courrier et même par fax (on ne rigole pas svp). D’un côté, c’est la preuve d’une « mode de la protection des données personnelles », et donc un avantage car c’est un domaine qui nécessite d’être vulgarisé et essaimé afin de prendre en compte les actuels risques en terme de respect de la vie privée mais aussi tout simplement en terme de simple sécurité des données. Mais d’un autre côté, c’est également une opportunité pour des escrocs de faire du business facile. Ce phénomène est récurrent en particulier pour surfer sur des nouvelles opportunités, ce fut le cas lors de la mise en place du document unique et le photovoltaïque par exemple.

Ces arnaques peuvent se scinder en 3 catégories : les fausses autorités de contrôle, les « coups business » et enfin, les failles du système. Nous terminerons cette enquête par une petite conclusion sur cet aperçu des prédateurs de la jungle RGPD (IV).

Les fausses autorités de contrôle :

Comme souvent, plus c’est gros, plus ça passe. En clair, un courrier simple vous demandant un virement, de rappeler un numéro, voire incluant un bon de commande pour vous mettre en conformité. Le tout agrémenté d’un logo de la CNIL ou de l’UE. La plupart des entreprises ne tomberont pas dans le panneau, mais souvent les montants demandés sont suffisamment faibles pour susciter une réaction du type « vu le coût je ne prends pas de risques ».

Certains iront même jusqu’à vous démarcher par téléphone ou par fax (ce qui, en soit, est tellement d’un autre temps que l’on pourrait croire que personne ne se fera berner, mais que nenni) et vous parler d’une « situation urgente » réclamant un virement ou un numéro de carte bleue.

Escroc 2escroc 3.jpg

La ressemblance est frappante avec des courriers administratifs reçus par une institution ou autorité de contrôle hypothétique. Ne vous y laissez pas prendre en appliquant un réflexe RGPD-friendly : lorsqu’une entité (entreprise, administration ou autre) vous demande de la contacter ou un certain nombre d’informations personnelles ou professionnelles, prenez le temps de bien analyser la demande, et surtout la légitimité de l’expéditeur. Si vous avez un doute, n’hésitez pas à nous contacter.

C’est donc, dans ce cas précis, de l’escroquerie pure et simple telle que définie à l’article 313-1 du Code Pénal : l’usage d’un faux nom, ou d’une fausse qualité en vue de tromper une personne physique ou morale pour l’amener à « remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ». Ce type d’escroquerie est donc puni au travers de l’application du code de procédure pénale.

Par conséquent, pour le bien des entreprises : faites remonter dès que possible ces tentatives d’escroqueries aux autorités de police, à la CNIL, ou à Novatek qui se chargera de prévenir les autorités.

Les « coups business » 

Ici, nous sommes dans un cas d’arnaque au RGPD qui n’est pas tout à fait de l’escroquerie (quoi que). Quelques commerciaux vont tenter de vous revendre conseils ou « outils magiques » destinés à vous aider dans la conformité. Bien évidemment, il est important de conserver le bénéfice du doute et de ne pas rejeter toute proposition pouvant venir de professionnels tout à fait avisés, mais la vigilance et la prudence doivent être de mise.

Il y a d’autres « coups business », plus difficiles à déceler. Il s’agit de vrais conseils d’entreprises bien installées, mais mal faits et dans un intérêt court-termiste au bénéfice quasi-exclusif de l’entreprise (proposer des contrats d’assurance classiques couvrant les risques de violations de données électroniques et les possibles amendes … on ne s’étendra pas sur la couverture du risque pénal par les assurances …,  revendre des solutions informatiques en prétendant que « si vous n’achetez pas, vous n’êtes pas conforme », de proposer des solutions matérielles « compliant RGPD » ou proposer des expertises informatiques sans informaticien).

Nous vous rappelons que la conformité RGPD n’est pas qu’une problématique informatique, ni juridique mais c’est un sujet transversal, technique et juridique touchant l’ensemble de votre organisation.

Les failles du système

Il s’agit là du cas le plus vicieux d’arnaques au RGPD : la fausse demande d’accès ou de portabilité. Le RGPD impose aux entreprises de répondre aux demandes d’accès et de portabilité des données personnelles des personnes concernées (article 15 et 20 du RGPD). En clair, toute personne physique a le droit d’effectuer ses demandes aux entreprises, qui doivent s’exécuter en un mois (prolongeable à 3 mois en cas de complexité de la demande).

Quelles en sont les conséquences ? Vous fournissez alors à un tiers l’intégralité des données personnelles dont vous disposez sur un client, un prospect, un salarié (etc.). Et là, c’est potentiellement la catastrophe pour la personne comme pour votre entreprise.

Comment se protéger ?

La majeure partie des escroqueries ne résistent pas à l’utilisation de la matière grise. Le meilleur moyen est de vous rapporter systématiquement au site de la CNIL et de faire quelques simples recherches, même si vous n’avez pas de doute.

Malheureusement, comme c’est souvent le cas en terme de sécurité, le maillon faible est entre la chaise et le bureau, et l’urgence ou la panique sont les meilleurs moyens de se faire entourlouper. N’hésitez pas à nous solliciter si vous vous posez des questions ou si vous voulez une simple confirmation. Rassurez-vous, nous voyons tous les jours sur les forums spécialisés de la protection des données personnelles, des demandes de DPO suite à la réception de courriers, de fax, de courriels exotiques.
Comme toujours, il n’y a aucune honte à demander ou à s’interroger … au pire vous aurez perdu un peu de temps …