Accueil > Dossiers > Interviews > Mise en conformité RGPD : attention aux arnaques !
rgpd arnaque

Mise en conformité RGPD : attention aux arnaques !

La mise en conformité RGPD est une priorité pour de nombreuses entreprises, depuis l’entrée en vigueur du règlement dans l’Union européenne.Malheureusement, certains escrocs en profitent… Mastaneh DJAZAYERI d’Alpha Conseils Technologies nous en dit plus sur les arnaques RGPD, et sur les pratiques à adopter pour les éviter.

Depuis le 25 mai 2018, date de l’entrée en vigueur du RGPD dans l’Union européenne, les entreprises doivent prendre certaines mesures visant à assurer la protection des données personnelles de leurs clients. Si elles ne se conforment pas au règlement, en cas de contrôle de la CNIL, les organisations risquent une amende pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires.

Cette mise en conformité est donc une priorité urgente. Dans ce contexte d’effervescence générale, de nombreux charlatans voient une opportunité de se remplir les poches sans trop d’efforts. Afin d’en savoir plus sur les arnaques RGPD, nous sommes partis à la rencontre de Mastaneh DJAZAYERI, Juriste / Compliance R.G.P.D, Docteur en Droit, Déléguée à la Protection des Données, Certifiée Bureau VERITAS chez Alpha Conseils Technologies.

Selon vous, l’entrée en vigueur du RGPD a donné naissance à un nouveau genre d’arnaques. Pouvez-vous nous en dire plus ?

Effectivement, il est juste d’affirmer que depuis l’entrée en vigueur du RGPD le 25 mai dernier, un certain nombre d’arnaques ont vu le jour au détriment des acteurs économiques qui sont les plus vulnérables, à savoir les toutes petites entreprises qui ne sont pas forcément outillées pour les détecter.

De manière générale, les sociétés malveillantes profitent de l’incrédulité et de la méconnaissance de la loi par un certain de nombre d’acteurs économiques. Ces arnaques ont toujours eu cours dans notre société dans divers domaines.

Dans le cas du RGPD, ces pratiques frauduleuses ont été en cette matière plus aisées à mettre en place pour un certain nombre de raisons qui me paraissent essentielles.

Tout d’abord, le manque d’information étatique sur cette nouvelle règlementation européenne. En effet, les acteurs économiques qui sont impactés en premier plan n’ont pas reçu suffisamment d’informations sur le RGPD.

Pour rappel, cette règlementation européenne a vu le jour le 27 avril 2016 et laissait la latitude aux entreprises de se conformer à celui-ci au 25 mai 2018, donc deux ans. Mais, sauf erreur ou omission de ma part, il n’y a eu aucune communication en ce sens.

Ce manque de communication a donc permis à certains organismes malveillants de profiter de ce manque d’informations pour proposer leurs services à prix défiant toute concurrence, en attisant la peur de leur cible sur le volet de la sanction administrative qui peut atteindre jusqu’à 20 millions euros. Plus communément, la peur du gendarme, s’il nous est permis d’employer une expression usitée.

En effet, les principaux concernés ont commencé à être immergés de prospectus, de propositions commerciales et services de prestations externes quelques semaines avant la mise en vigueur de cette règlementation. Les escrocs ont joué sur la peur de cette sanction administrative pour proposer leurs services.

D’ailleurs, la CNIL n’a pas manqué de mettre en garde les entreprises contre ces tentatives d’escroquerie avec une campagne #StopArnaque. Dorénavant, ce ne sont plus seulement les personnes physiques qui sont dans le collimateur des escrocs, mais aussi les entreprises.

Le modus-operandi est extrêmement simple. Ces sociétés malveillantes adressent en règle générale un message qui ressemble à s’y méprendre à un message officiel, et qui leur fait injonction de se mettre dans l’urgence en conformité avec le RGPD.

Ils proposent des prestations avoisinant les 990€, en vous affirmant qu’en signant leur contrat de prestation de service ils seraient ” normés et estampillés RGPD ” selon leurs propres termes. Pourtant, la CNIL n’a mandaté aucun organisme et n’a pour le moment délivré aucune certification à un quelque organisme que ce soit. Cela a été prévu dans le cadre des missions qui lui sont imparties par la loi informatique et liberté du 20 juin 2018.

Comment éviter ces arnaques ? Quelles sont les bonnes pratiques à adopter pour les entreprises ?

La première précaution qu’il convient de prendre est de ne pas se contenter d’un simple échange ou de l’envoi de documentation sur le RGPD. Afin d’éviter ces arnaques, les entreprises devront avoir recours aux professionnels expérimentés en la matière tels que les Avocats, les sociétés de prestations externes composées de juristes et de services informatiques qualifiés en matière de protection des données personnelles.

Ces intermédiaires leur permettront d’identifier les actions à mettre en place. C’est d’ailleurs aussi l’un des conseils de la CNIL. Par conséquent, la bonne pratique à mettre en place pour les entreprises est de s’entourer d’expert en la matière et de s’enquérir de leurs expériences.

En outre, la CNIL recommande vivement de bien tracer et identifier les organismes qui s’occupent de la mise en conformité de votre entreprise, et de ne pas hésiter à la contacter en cas de doute. Vous devez être très vigilant, car cette escroquerie peut impacter votre finance et être source de détournement de fichiers de données personnelles qui pourront être monnayés ultérieurement.

A condition d’éviter les charlatans, faire appel à un tiers est-il une bonne façon de se conformer au RGPD ?

escroc

Il est bien évident qu’à cette question, je ne peux que vous répondre par l’affirmative dans la mesure où l’entreprise disposera de toutes les garanties pour cette normalisation et vous fera bénéficier d’un suivi régulier et de personnes compétentes pour profiter de leur expertise et qui auront pour mission de les accompagner et de les conseiller durant cette normalisation.

Au-delà de cet avantage imparable, la société de prestation externe aura un devoir de conseil à l’égard de l’entreprise en cas de manquement il lui saura toujours aisé d’attraire sa responsabilité pour défaut de conseil.

Cependant, il ne faut pas confondre la mise en œuvre de la responsabilité de la société de prestation externe pour défaut de conseil avec la non-conformité du responsable de traitement ou du sous-traitant pour la non-conformité au RGPD . La société de prestation externe ne peut voir aucunement sa responsabilité mise en cause pour la non-conformité de son client.

Au contraire, comment se conformer au RGPD sans avoir besoin de faire appel à un tiers ?

Il n’est pas forcément nécessaire d’avoir recours à une société de prestation externe ou autres professionnels en la matière pour se conformer. Il est parfaitement possible d’envisager pour les sociétés de désigner parmi les personnes composantes la société, une personne qui sera nommée déléguée à la protection des données sous certaines conditions avec certaines réserves.

La société désignant cette personne devra dans un premier temps rédiger une lettre de mission déterminant le rôle précis dévolu au délégué à la protection des données et le champ de ses interventions.

Il est important que la personne désignée bénéficie de formation en la matière, du temps pour remplir ses tâches, de moyens matériels pour effectuer sa mission. Sa fonction ne doit pas non plus rentrer en conflit d’intérêts avec le poste qu’elle occupe.

Ainsi, la ressource humaine, les responsables de systèmes de sécurité informatique, directeurs, et directeurs des affaires financières ne peuvent remplir ce rôle, car il y a un conflit d’intérêts. On ne peut être juge et parti en même temps. Il conviendra de juger au cas par cas la fonction de la personne que la société entend désigner pour voir s’il y a absence de conflit d’intérêts.

Il faut également que cette nouvelle mission qui est impartie à la personne figure à son contrat de travail Il convient de préciser que l’employeur ne peut renvoyer ladite personne dans le cadre de sa mission de délégué à la protection des données, même si elle n’est pas un salarié protégé.

En conclusion, il ne faut pas désigner un délégué à la protection des données ” de paille “. Seules les sociétés d’une certaine taille peuvent envisager ce mode de fonctionnement, car comme on peut l’imaginer une toute petite société n’a pas le temps de se soumettre à une contrainte. Il lui serait impossible de désigner une personne en interne en la surchargeant de travail avec la compensation financière qui va avec et qui ne peuvent mettre à disposition des moyens matériels pour que la mission soit remplie.

Pour profiter d’un accompagnement dans la mise en conformité RGPD de votre entreprise, vous pouvez contacter Mastaneh Djazayeri de Alpha Conseils Technologie à l’adresse mail servicejuridique@alphaconseils.com.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend