RGPD : méfiez-vous des arnaques !

En décembre 2020, deux médecins libéraux ont écopé d’amendes de 3 000 et de 6 000 euros de la part de la Commission nationale de l’informatique et des libertés (Cnil) pour avoir « insuffisamment protégé les données personnelles de leurs patients » et ne pas avoir notifié la Cnil de cette violation des données. Cette sanction rappelle brutalement une règle essentielle aux professionnels de santé (pratique libérale, pharmacies, cabinets de radiologie, dentaire, vétérinaire, etc.) : ils sont aussi concernés par l’obligation de se conformer au règlement général de protection des données (RGPD). Or, il peut être particulièrement complexe à s’y conformer. Il faut maîtriser ces systèmes et pouvoir démontrer que toutes les mesures de sécurisation technique et organisationnelle sont mises en œuvre, que ce soient les postes de travail et l’informatique mobile, les serveurs et les archives ou les techniques de chiffrement.

Bref, un vrai casse-tête pour ces professionnels dont ce n’est pas le métier et qui doivent jongler avec un planning surchargé. Pour les aider à honorer leurs obligations, des prestataires de services leur proposent un accompagnement sur mesure. Mais, dans le lot des sollicitations, de multiples arnaques au RGPD sévissent toujours, ciblant notamment les professionnels. Ces derniers sont contactés par téléphone par des personnes qui se font passer pour des agents de la Cnil (avec, dans certains cas, l’affichage frauduleux du numéro de téléphone de cette institution) ou pour des sociétés agissant en son nom, en vue de leur proposer des services payants d’assistance à la mise en conformité au RGPD, en les menaçant parfois d’une lourde sanction financière ou d’une action contentieuse. Or, la Cnil ne mandate jamais de prestataires pour intervenir auprès de professionnels dans le cadre d’une procédure répressive. L’entreprise peut également recevoir des courriers ou courriels reprenant des termes ou des éléments visuels qui laissent penser que le message vient de la Cnil ou d’un autre organisme français ou européen (logo de la Cnil ou d’une autre institution, drapeau tricolore, Marianne, drapeau européen, etc.).

Comment éviter de se faire piéger ?

Il s’agit, avant de s’engager, de toujours vérifier (sur Internet, en appelant la Cnil ou les syndicats de la profession), sans céder à la pression, l’identité de l’entreprise qui démarche, la cohérence de la situation et la nature des services proposés. Il faut lire attentivement les dispositions contractuelles ou précontractuelles, prendre le temps de la réflexion et analyser l’offre. Même sous la menace d’une sanction financière ou d’une action contentieuse, il ne faut jamais procéder au versement d’une somme d’argent au motif qu’elle arrêterait une éventuelle procédure. Ce risque d’escroquerie doit être connu de tous les membres de l’équipe, en particulier de ceux appelés à traiter ce type de courrier (ou courriel) dans l’entreprise ; il ne faut donc pas hésiter à les sensibiliser sur les méthodes employées par ces fausses entreprises.

Si l’entreprise se fait piéger, elle doit contacter immédiatement sa banque pour bloquer le virement ou demander le retour des fonds versés, si c’est encore possible (procédure dite de recall, à l’efficacité non garantie). Il ne faut plus répondre ni par téléphone, ni par mail, ni sur un site Internet, et donc cesser tout contact avec cet interlocuteur. Une plainte doit être déposée auprès de la police, de la gendarmerie ou du procureur de la République dès la constatation des faits. Autre information à connaître : si l’entreprise compte moins de cinq salariés, elle dispose d’un délai de rétractation de quatorze jours pour les contrats conclus hors établissement.