Logo UME

Agenda
 
Accueil > FLASH INFOS  > FLASH JURIDIQUES
RGPD : les collectivités mises en garde contre « les pratiques abusives » par la CNIL

Sur son site Internet, la Commission nationale de l’informatique et des libertés (Cnil) a tiré la sonnette d’alarme contre «  les pratiques abusives  » qui pullulent depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai 2018.

Des groupes malintentionnés tentent en effet de soutirer des données confidentielles (rapport d’audit…) ou de vendre des services à des entreprises ou à des organismes publics, parmi lesquels les collectivités locales, sous peine de sanctions financières.

Cette méthode n’est pas sans rappeler celle utilisée pour « les arnaques au président », qui « consistent à abuser d’un employé ou d’un assistant comptable afin d’exiger un virement bancaire  ».

Trois courriers types ont été remontés (à télécharger ci-dessous). Sur le plan visuel, tous adoptent les codes d’un courrier officiel français voire européen.
- « On peut avoir l’impression que ces courriers émanent de l’État, relève Virginie Langlet, déléguée à la protection des données (DPD) au conseil départemental des Alpes-Maritimes et référente du groupe RGPD pour l’Assemblée des départements de France (AdF).
- Le plus inquiétant est celui estampillé «  Regaffin  », un nom similaire à Tracfin [du nom de la cellule française de lutte contre le blanchiment de capitaux et le financement du terrorisme, ndlr]. On peut alors penser que c’est le régalien qui va venir vous contrôler ».

Les auteurs de ces courriers surfent par ailleurs sur les inquiétudes des collectivités et des entreprises quant à leur mise en conformité avec le texte européen. « Noter que le non-respect des nouvelles mesures peut engager votre responsabilité au traitement des données et engendrer des sanctions contre l’entreprise  », est-il écrit dans l’un des courriers. « Le ton est agressif et anxiogène », remarque Virginie Langlet, qui conseille à leurs destinataires de « ne surtout pas répondre  » et de « ne pas hésiter à contacter la Cnil ou la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ».

Les indices pour déceler un document frauduleux

Le 7 novembre 2018, les deux institutions ont formulé de concert plusieurs « recommandations  » « au regard de ces pratiques commerciales trompeuses  ». Elles invitent à « vérifier l’identité des entreprises démarcheuses (leur domiciliation) qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD  » et à « vérifier la nature des services proposés : la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps  ».

Rappelons que le RGPD est le cadre européen concernant le traitement et la circulation des données personnelles : il s’applique « à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou en tant que sous-traitant, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens  », selon la définition relayée par la Cnil.

- Télécharger le courrier type 1
- Télécharger le courrier type 2
- Télécharger le courrier type 3

Union des Maires de L’Essonne : 9 boulevard des Coquibus - 91030 Evry Cedex - tel : 01 69 91 18 93 - fax : 01 69 91 45 87
Contact - Plan du site - Mentions légales - Crédits