En ce moment, et comme dans le cadre de tout nouveau domaine professionnel en construction, beaucoup d’ « aventuriers » profitent d’un secteur économique en croissance à deux chiffres pour tenter d’effectuer des « arnaques au RGPD » afin de tirer sans trop d’effort les marrons du feu. D’un côté, c’est la preuve d’une « mode de la protection des données personnelles », et donc un avantage car ce domaine doit de toute urgence être popularisé auprès des entreprises et des personnes. En effet, l’heure de la révolution numérique est également l’heure de risques extrêmement importants pour la sécurité des entreprises, pour la vie privée des personnes mais également pour les régimes démocratiques de plus en plus instrumentalisés électoralement. Il est donc extrêmement important de favoriser, et non de museler les juristes, avocats ou informaticiens qui se sont attelés à cette lourde tâche, sans commune mesure depuis longtemps.
Mais de l’autre, c’est également un « pousse au crime » pour des saboteurs de tout poil attirés par l’appât du gain : à la limite, ou franchement en dehors de la légalité. Observantiae a fait son enquête, afin d’alerter les entreprises de toutes tailles sur certains des cas les plus courants à ce jour. La plupart des entreprises spécialisées dans ce domaine, dont Observantiae, sont généralement jeunes et se bâtissent une crédibilité. Ils ne font pas grand cas de ces « arnaques au Règlement Général sur la Protection des Données » (ci-après RGPD), de peur de refroidir de potentiels prospects. C’est, selon nous, une erreur. Les petits escrocs ont toujours fait partie des démarrages d’activités (le commerce de la cigarette électronique a failli en faire les frais il y a quelques années), mais ils se sont toujours rapidement éteints en jetant leurs dévolus sur une nouvelle « mode business ».
Nous avons répartis ces arnaques au RGPD en 3 catégories : les fausses autorités de contrôle (I), les « coups business » (II) et enfin, les failles du système (III). Nous terminerons cette enquête par une petite conclusion sur cet aperçu des prédateurs de la jungle RGPD (IV).
I. Les fausses autorités de contrôle :
Plus c’est gros, plus ça passe. En clair : l’Union européenne, la CNIL, l’étrange « autorité de contrôle RGPD » (si elle existait) ou autres ne vont jamais vous écrire par courrier simple pour vous demander un virement ou d’appeler un numéro pour vous mettre en conformité. La plupart des entreprises ne tomberont pas dans le panneau, mais qui peut se targuer d’être toujours 100% vigilant ? D’autant lorsqu’il s’agit, par exemple, d’un courrier assorti d’un joli logo de la CNIL ou de l’UE et d’un magnifique scan de signature.
Certains iront même jusqu’à vous démarcher par téléphone (ce qui, en soit, est déjà à 99% certain une violation de vos données personnelles) et vous parler d’une « situation urgente » réclamant un virement ou un numéro de carte bleue. Jamais ! Jamais un tel cas n’est vrai. Ici, deux exemples de courriers d’arnaques au RGPD envoyés par nos partenaires juristes et avocats.
La ressemblance est frappante avec des courriers administratifs reçus par une institution ou autorité de contrôle hypothétique. Ne vous laissez pas prendre en appliquant un réflexe RGPD-friendly : lorsqu’une entité (entreprise, administration ou autre) vous demande de la contacter ou un certain nombre d’informations personnelles ou professionnelles, prenez le temps de bien analyser la demande, et surtout la légitimité de l’expéditeur. Un contact auprès d’un cabinet d’avocat ou d’accompagnement (tel que nous), ou une petite recherche sur le web, par exemple, est très efficace.
C’est donc, dans ce cas précis, de l’escroquerie pure et simple telle que définie à l’article 313-1 du Code Pénal : l’usage d’un faux nom, ou d’une fausse qualité pour tromper une personne physique ou morale pour la déterminer à « remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ». Ce type d’escroquerie est donc puni au travers de l’application du code de procédure pénale.
Par conséquent, pour le bien des entreprises : faites remonter dès que possible ces tentatives d’escroqueries aux autorités de police, à la CNIL, à un avocat ou à Observantiae qui fera remonter l’information.
II. Les « coups business »
Ici, nous sommes dans un cas d’arnaque au RGPD qui n’est pas tout à fait de l’escroquerie (quoique). Quelques commerciaux vont tenter de vous revendre conseils ou « outils magiques » destinés à vous aider dans la conformité. C’est une démarche salutaire que des professionnels se penchent sur la question pour aider les entreprises. C’en est une autre lorsqu’il s’agit d’un « coup business » par des entrepreneurs sans scrupules et non formés sur la question.
Bien évidemment, il est important de conserver le bénéfice du doute et de ne pas rejeter toute proposition pouvant venir de professionnels tout à fait avisés. Mais la vigilance veut que vous puissiez étudier au préalable les profils des entreprises concernés. Les premières choses à faire :
- Analysez les CV des consultants proposés : s’ils vous sont transmis avec noms et prénoms des personnes sans indiquer la durée de conservation ces derniers : que cela vous mette la puce à l’oreille.
- Appliquez les règles basiques du droit : nous sommes tombés dans nos recherches sur des experts en conformité de la « loi du RGPD ». Cela n’évoquera rien à beaucoup de monde, mais cette formulation ferait tomber de leurs chaises les juristes, un peu comme « la loi stipule » (verbe réservé aux contrats). En effet le RGPD est un règlement européen, pas une loi (on vous épargne une définition exhaustive de la hiérarchie des normes).
- Absence, ou caractère nonchalant des mentions d’information et de la politique de protection de la vie privée sur le site.
- Une demande de connexion sur LinkedIn, à titre personnel, vous permet également de visualiser le parcours de votre interlocuteur. C’est une violation de ses données personnelles dans un cadre professionnel, mais vous le faites bien évidemment à titre personnel, n’est ce pas ?
Beaucoup de défauts de ce genre peuvent se trouver relativement facilement sur ces sites qui pullulent parfois sur la toile. Vous n’avez pas besoin d’être un expert de la protection des données personnelles pour les repérer.
Il y a d’autres « coups business », plus difficiles à déceler. Il s’agit de vrais conseils d’entreprises bien installées, mais mal faits et dans un intérêt court terme au bénéfice quasi-exclusif du cabinet de conseil (revendre des solutions informatiques en prétendant que « si vous n’achetez pas, vous n’êtes pas conformes », ou proposer une expertise informatique sans informaticien dans l’équipe, par exemple). Mais nous nous abstiendrons d’aller plus loin sur ce terrain : au moins, dans ce cas, vous aurez eu un diagnostic RGPD (cher et vous laissant tous les chantiers sur les bras) qui vous aura ouvert les yeux sur un certain nombre d’axes d’améliorations à envisager.
III. Les failles du système
Il s’agit là du cas le plus vicieux d’arnaques au RGPD. De l’escroquerie la plus désastreuse en termes de conséquences : la fausse demande d’accès ou de portabilité. Le RGPD impose aux entreprises de répondre aux demandes d’accès et de portabilités des données personnelles des personnes concernées (article 15 et 20 du RGPD). En clair, toute personne physique a le droit d’effectuer ses demandes aux entreprises, qui doivent s’exécuter en un mois (prolongeable à 3 mois en cas de complexité de la demande).
Or, comment justifie-t-on aujourd’hui de son identité sur le web ? Principalement par l’envoi du scan de sa pièce d’identité via son profil ou une adresse e-mail référencée dans la base client de l’entreprise concernée. Les spécialistes bancaires de lutte contre la fraude, particulièrement en matière bancaire, vous le confirmerons : il est de plus en plus facile de truquer un scan de pièce d’identité, et notamment la fameuse bande MRZ (le code, en bas de la carte). Même les algorithmes les plus poussés se trompent parfois. Quelles en sont les conséquences ? Vous fournissez alors à un tiers l’intégralité des données personnelles dont vous disposez sur un client, un prospect, un salarié (etc.). Et là, c’est potentiellement la catastrophe pour la personne comme pour votre entreprise.
Un certain nombre d’abus en ce sens ont déjà été référencés, notamment au travers du aujourd’hui célèbre « Mike Rosebird, citoyen engagé » dont voici le modèle de lettre de demande (dont nous nous sommes permis de corriger les nombreuses fautes d’orthographe) :
« Bonjour,
En application de mon droit d’accès et d’informations sur les traitements de données personnelles me concernant, je souhaite obtenir de votre part la confirmation que vous n’avez pas dans vos bases de données ou celles de vos sous-traitants d’informations liées à mon email. Ma démarche fait suite à la réception de spams alors que l’usage de cette adresse email est extrêmement limité ; ainsi je souhaite que la procédure de recherche se limite à mon email et aux données que vous ou vos sous-traitants pourraient avoir associées.
Je ne souhaite pas accéder aux données de compte ni à des données liées à une identité physique. Ainsi, je vous demande de procéder aux contrôles sur la base de ma propriété de cet email sans autre procédure de contrôles qui seraient excessives au regard de ma demande.
Dans l’éventualité où des données me concernant seraient détectées… je vous demande de me préciser la source d’obtention de ces données et les traitements et partages associés.
Dans l’attente de votre retour,
Mike Rosebird, un citoyen engagé. »
Le caractère artisanal de cette demande illustre les risques potentiels liés à une application trop rapide de la réponse aux droits consacrés par le RGPD. Nous vous recommandons par conséquent la plus extrême prudence : un scan de CNI ne suffit pas forcément. Il peut être également utile de recouper cette demande avec d’autres méthodes : vos traitements de données personnelles sont alors justifiés par le respect d’une obligation légale (répondre à l’application du droit des personnes), alors n’ayez aucune crainte (sans disproportion s’entend) pour confirmer cette demande oralement voire, si possible, échanger par courrier postal avec l’interlocuteur concerné.
IV. Conclusion
Comme vous le voyez, chaque problème a de nombreuses solutions.
L’escroquerie par usage d’une fausse qualité peut être décelée assez rapidement en croisant l’information ou en prenant contact avec un avocat, ou une structure telle qu’Observantiae qui se fera un plaisir de vous aider.
Dans le second cas, celui des « coups business », cela demande de faire un peu plus fonctionner sa matière grise. Le meilleur moyen est de vous rapporter systématiquement au site de la CNIL (cnil.fr) pour évaluer si, à minima, le site du cabinet respecte les formalités les plus évidentes à remplir. Si vous vous sentez l’âme d’un juriste, une petite recherche contrôle+F sur un exemplaire du Règlement Général sur la Protection des Données vous fournira suffisamment d’informations pour étudier la crédibilité de votre interlocuteur.
Le 3ème cas est le plus complexe, et heureusement rare (pour le moment) : recoupez la demande avec d’autres biais de confirmation que la Carte Nationale d’Identité. Vous en avez le droit : vous répondez à une obligation légale.
Observantiae prend à cœur son rôle d’information des entreprises et des citoyens. Nous comptons étayer cet article par toute tentative de fraude ou d’escroquerie nouvelle. Nous serions heureux de pouvoir bénéficier de tout élément supplémentaire sur une arnaque au RGPD qui vous aurait été fait parvenir, si vous souhaitez collaborer à nos articles. Vous pouvez le faire gratuitement et serez accueillis dans la bonne humeur. Notre méthode de prise de contact (à respecter impérativement) figure sur ce lien : https://observantiae.com/proposition-darticle-pour-le-datablog/
Sur ces bonnes paroles, bon voyage dans le monde fascinant de la Protection des données personnelles et surtout : gardez bien les yeux ouverts.
Pierre LOIR
Expert en protection des données personnelles
Fondateur d’Observantiae
