RGPD ET PRATIQUES ABUSIVES

ARNAQUE RGPD, PRATIQUES ABUSIVES ET COURRIERS TROMPEURS

A la suite de l'alerte publiée par la CNIL, Projecteec s'associe à cette démarche d'information et vous alerte sur les pratiques frauduleuses de certaines sociétés dont nous avons eues récemment connaissance, à l'occasion de nos propres RDV ou missions d'accompagnement RGPD auprès de nos clients et prospects.

LA CNIL a relayé une alerte dans l'un de ses posts récents "alerte vigilance" concernant les pratiques frauduleuses de certains organismes à l'image de ce courrier qui est pris en exemple dans son article.

En réalité, de faux bureaux européens de contrôle ou de faux services français de vérification, se font passer (ils en donnent tout du moins l'impression) pour des organismes chargés de vérifier et régulariser votre mise en conformité RGPD.

Les courriers sont tournés d'une certaine façon, utilisant les mécanismes de la peur en venant surfer sur la faute et la sanction fondus dans un mélange de dispositions réglementaires standard. Sous couvert d'urgence et de l'épée de Damoclès qui plane sur votre structure, ils vous proposent de régler votre situation.

Deux types d'arnaques sont rencontrées actuellement :

• Arnaque 1 : "l'appel à un ami" conseil

Souvent il s'agira plutôt d'un courrier qui vous rappelle vos obligations de déclaration en vous proposant d'appeler un numéro (parfois surtaxé). Au bout du fil, un correspondant mal à l'aise, lorsque vous posez les bonnes questions (ou que vous lui faites part de votre étonnement "Comment avez vous su que je n'étais pas en règle ?") vous expliquera sur un ton péremptoire, que vous n'êtes pas en règle, qu'ils en sont informés, que "on s'est plaint", que "ils le savent" ou que "ça se voit" (sur votre site internet notamment), mais sans trop vous expliquer pourquoi sauf qu'ils savent et que vous non. En tous cas, ils vous expliqueront certainement qu'ils vous adresseront une facture pour une régularisation de la situation sur on ne sait trop quel sujet ou auprès d'une quelconque organisation (qui n'a bien sur rien à voir avec la CNIL) comme se l'est entendu dire une société qui a appelé ce numéro et le correspondant lui expliquant qu'il pouvait faire régulariser la situation rapidement auprès, par exemple, de la préfecture, ce qui est une ineptie.

Au delà d'une vente forcée que veut vous imposer la dite société, qui vous amènera peut être à recevoir en contrepartie et au mieux un modèle de registre à remplir (alors qu'un modèle exemple est mis à disposition gratuitement sur le site de la CNIL) ou des modèles de clauses RGPD pour adapter vos contrats de sous traitants, ce même courrier veut vous culpabiliser. En effet, l'objectif est de vous inciter à régulariser en urgence n'hésitant même pas à vous rappeler une date limite de déclaration positionnée en entête du courrier. Or on sait bien qu'il n'y a pas de date limite pour régulariser puisque de toute façon, la mise en oeuvre du RGPD est déjà obligatoire depuis le 25 Mais 2018.

• Arnaque 2 : Le faux "Joker" libérateur

Cette fois une société vous adresse directement une facture, sans autre préavis, ni contact préalable pour immédiatement régulariser votre situation. Comme si le fait de payer allait vous libérer de vos obligations de mise en conformité. Et la démarche est habile puisque la société ne vous propose même pas d'opter pour un service d'établissement de vos registres (le service est affiché d'un zéro en préfixe de libellé et d'une quantité vide, un présentation qui semble affirmer : "0 établissement de registres" = FAUTE ) mais simplement (sur l'autre ligne) de payer pour "1" clause/contrat de sous traitant pour un tarif d'un peu moins de 1000€HT.

Si vous comptez payer, vous aurez probablement la malchance d'être l'heureux propriétaire d'un modèle de contrat sous traitant incluant une clause RGPD. Cela ne règlera pas du tout votre conformité puisque personne, à part vous ou le prestataire avec lequel vous avez contractualisé pour un audit d'au moins quelques jours pour le faire, ne peut documenter cette conformité RGPD qui nécessite la plupart de mette en place quelques actions, souvent simples, suite aux préconisations de l'audit.

Dans tous les cas sachez que, à ce jour, le seul organisme habilité à vous demander des informations sur votre mise en conformité RGPD et à émettre une sanction à votre encontre, s'il considère que vous n'avez pas initié ou suffisamment documenté votre conformité face aux obligations découlant du RGPD, c'est la CNIL.

Les sociétés qui adoptent les démarches susvisées ici n'ont aucun pouvoir contraignant ni aucun pouvoir de sanction pour vous obliger à déclarer ou payer, comme elles semblent vous inciter à le faire en surfant sur l'incertitude, la peur et la méconnaissance du sujet.

NB: d'autres utilisent les mêmes pratiques et techniques pour vous inciter à payer des abonnements dans des "registres" en ligne sorte d'annuaires inconnus en les faisant passer pour renouvellements de noms et marques déposées à l'INPI.

Ce qui est certain dans tous les cas, c'est que tous les organismes publics ou privés, quels que soit leur taille (indépendant ou avec plusieurs salariés ou leur statut juridique (association, entreprise, micro-entreprise, collectivité...) sont tenus, du moment qu'ils résident sur le territoire européen et/ou traitent des données de citoyens européens, de se conformer au RGPD. La probabilité d'échapper à ces obligations est extrêmement limitée.

Depuis le 25 mai 2018, la mise en oeuvre du RGPD est bien obligatoire et impose une vraie démarche interne d'audit de vos traitements de données personnelles au sens du RGPD.

Donc quel que soit le courrier que vous recevez le mieux est d'appeler la CNIL, dès lors que vous avez un doute sur la provenance du courrier ou encore de contacter votre serviteur. C'est promis, il n'y aura pas de facture pour cela !!!

Pour en savoir plus, n'hésiter pas à consulter aussi la note de la CNIL Pratiques abusives "Mise en conformité RGPD" : Comment s'en prémunir avec la CNIL et la DGCCRF