Édition du vendredi 16 novembre 2018
RGPD : les collectivités mises en garde contre « les pratiques abusives »
Attention aux arnaques ! Sur son site Internet, la Commission nationale de l’informatique et des libertés (Cnil) a tiré la sonnette d’alarme contre « les pratiques abusives » qui pullulent depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai dernier. Des groupes malintentionnés tentent en effet de soutirer des données confidentielles (rapport d’audit…) ou de vendre des services à des entreprises ou à des organismes publics, parmi lesquels les collectivités locales, sous peine de sanctions financières. Cette méthode n’est pas sans rappeler celle utilisée pour « les arnaques au président », qui « consistent à abuser d'un employé ou d'un assistant comptable afin d'exiger un virement bancaire », explique Le Journal du Net.
Trois courriers types ont été remontés (à télécharger ci-dessous). Sur le plan visuel, tous adoptent les codes d’un courrier officiel français voire européen. « On peut avoir l’impression que ces courriers émanent de l’État, relève Virginie Langlet, déléguée à la protection des données (DPD) au conseil départemental des Alpes-Maritimes et référente du groupe RGPD pour l’Assemblée des départements de France (AdF). Le plus inquiétant est celui estampillé « Regaffin », un nom similaire à Tracfin [du nom de la cellule française de lutte contre le blanchiment de capitaux et le financement du terrorisme, ndlr]. On peut alors penser que c’est le régalien qui va venir vous contrôler ».
Les auteurs de ces courriers surfent par ailleurs sur les inquiétudes des collectivités et des entreprises quant à leur mise en conformité avec le texte européen. « Noter que le non-respect des nouvelles mesures peut engager votre responsabilité au traitement des données et engendrer des sanctions contre l’entreprise », est-il écrit dans l’un des courriers. « Le ton est agressif et anxiogène », remarque Virginie Langlet, qui conseille à leurs destinataires de « ne surtout pas répondre » et de « ne pas hésiter à contacter la Cnil ou la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ».
Les indices pour déceler un document frauduleux
Le 7 novembre, les deux institutions ont formulé de concert plusieurs « recommandations » « au regard de ces pratiques commerciales trompeuses ». Elles invitent à « vérifier l’identité des entreprises démarcheuses (leur domiciliation) qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD » et à « vérifier la nature des services proposés : la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps ».
Rappelons que le RGPD est le cadre européen concernant le traitement et la circulation des données personnelles : il s’applique « à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou en tant que sous-traitant, dès lors qu'elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens », selon la définition relayée par la Cnil.
Quasiment six mois jour pour jour après son entrée en vigueur, le RGPD entre peu à peu dans les mœurs. D'après les chiffres de la Cnil, 100% des régions, 86% des départements et 14% des communes ont nommé un délégué à la protection des données (DPD), étape clef de la mise en conformité. Invité à commenter ce chiffre au 4e Forum numérique des collectivités locales, organisé hier au Pavillon Kléber à Paris par La Gazette des communes, Paul-Olivier Gibert, président de l’Association française des correspondants à la protection des données personnelles (AFCDP), a indiqué qu’il fallait « progresser ». « Le taux de communes engagées n’est pas suffisant mais ce n’est pas parce qu’on a du retard sur le peloton qu’on a perdu la course », a-t-il conclu.
Télécharger le courrier type 2.
Télécharger le courrier type 3.
Trois courriers types ont été remontés (à télécharger ci-dessous). Sur le plan visuel, tous adoptent les codes d’un courrier officiel français voire européen. « On peut avoir l’impression que ces courriers émanent de l’État, relève Virginie Langlet, déléguée à la protection des données (DPD) au conseil départemental des Alpes-Maritimes et référente du groupe RGPD pour l’Assemblée des départements de France (AdF). Le plus inquiétant est celui estampillé « Regaffin », un nom similaire à Tracfin [du nom de la cellule française de lutte contre le blanchiment de capitaux et le financement du terrorisme, ndlr]. On peut alors penser que c’est le régalien qui va venir vous contrôler ».
Les auteurs de ces courriers surfent par ailleurs sur les inquiétudes des collectivités et des entreprises quant à leur mise en conformité avec le texte européen. « Noter que le non-respect des nouvelles mesures peut engager votre responsabilité au traitement des données et engendrer des sanctions contre l’entreprise », est-il écrit dans l’un des courriers. « Le ton est agressif et anxiogène », remarque Virginie Langlet, qui conseille à leurs destinataires de « ne surtout pas répondre » et de « ne pas hésiter à contacter la Cnil ou la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ».
Les indices pour déceler un document frauduleux
Le 7 novembre, les deux institutions ont formulé de concert plusieurs « recommandations » « au regard de ces pratiques commerciales trompeuses ». Elles invitent à « vérifier l’identité des entreprises démarcheuses (leur domiciliation) qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD » et à « vérifier la nature des services proposés : la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps ».
Rappelons que le RGPD est le cadre européen concernant le traitement et la circulation des données personnelles : il s’applique « à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou en tant que sous-traitant, dès lors qu'elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens », selon la définition relayée par la Cnil.
Quasiment six mois jour pour jour après son entrée en vigueur, le RGPD entre peu à peu dans les mœurs. D'après les chiffres de la Cnil, 100% des régions, 86% des départements et 14% des communes ont nommé un délégué à la protection des données (DPD), étape clef de la mise en conformité. Invité à commenter ce chiffre au 4e Forum numérique des collectivités locales, organisé hier au Pavillon Kléber à Paris par La Gazette des communes, Paul-Olivier Gibert, président de l’Association française des correspondants à la protection des données personnelles (AFCDP), a indiqué qu’il fallait « progresser ». « Le taux de communes engagées n’est pas suffisant mais ce n’est pas parce qu’on a du retard sur le peloton qu’on a perdu la course », a-t-il conclu.
Ludovic Galtier
Télécharger le courrier type 1.Télécharger le courrier type 2.
Télécharger le courrier type 3.
Suivez Maire info sur Twitter : @Maireinfo2
S'ABONNER GRATUITEMENT
NOUS ÉCRIRE
DANS L'ÉDITION DU JOUR
Avant le congrès, des responsables de l'AMF réagissent à l'attitude du gouvernement
La « revitalisation communale » en débat au Sénat
Intégrer les exclus du numérique au service public numérique de demain
Loi Élan : les Sages valident les volets littoral et accessibilité
Retrouver une édition
Accéder au site