Pratiques abusives « Mise en conformité RGPD » : comment s’en prémunir avec la CNIL et la DGCCRF ?

Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Ce texte a pour objectif de mieux protéger les particuliers concernant le traitement de leurs données personnelles et de responsabiliser les professionnels.

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou en tant que sous-traitant, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Des sociétés profitent de l’entrée en vigueur de ce règlement pour opérer du démarchage auprès des professionnels (entreprises, administrations, associations), parfois de manière agressive, afin de vendre un service d’assistance à la mise en conformité au RGPD.

Une de nos consœurs a récemment failli être victime de ce type d’arnaque. Elle a reçu un courrier (qui semblait vrai, vous le trouverez joint à cet article) lui demandant de se mettre en conformité avec le RGPD, et lorsque elle a téléphoné, on lui a :

  1. demandé de payer immédiatement une taxe unique forfaitaire européenne de 1350 € HT pour cette mise en conformité,
  2. demandé son SIRET et son adresse mail
  3. dit qu’un médiateur prendrai contact avec elle pour la conseiller,
  4. dit qu’elle aurait des pénalités de retard.
Il s’agit bien sûr d’une « arnaque », il n’y a pas de taxe européenne pour cette démarche, les interlocuteurs dans cette affaire sont des personnes malveillantes qui tentent de soustraire indûment des sommes d’argent sous des prétextes fallacieux. Il faut savoir qu’aucune entreprise mandatée par les pouvoirs publics ne propose des prestations onéreuses de mise en conformité au RGPD. Depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai 2018, des organisations et entreprises sont démarchées par des sociétés leur proposant un service de mise en conformité au RGPD. La Commission nationale de l’informatique et des libertés (CNIL) avait déjà alerté sur ces pratiques en novembre dernier, et a depuis régulièrement réitéré ses recommandations (voir message d’alerte officiel ci-dessous).

Au regard de pratiques commerciales trompeuses, la DGCCRF et la CNIL formulent plusieurs recommandations qui visent à :

  • vérifier l’identité des entreprises démarcheuses qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD ;
  • vérifier la nature des services proposés : la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps.

Dans certains cas, il peut aussi s’agir de manoeuvres pour collecter des informations sur une société en vue d’une escroquerie ou d’une attaque informatique.

Les principaux réflexes à avoir en cas de démarchage

Si vous recevez ce type de sollicitations, vous devez :

  • demander des informations sur l’identité de l’entreprise démarcheuse permettant de faire des vérifications sur internet ou auprès des syndicats de votre profession ;
  • vous méfier de telles communications prenant les formes d’une information officielle émanant d’un service public ;
  • lire attentivement les dispositions contractuelles ou pré-contractuelles ;
  • prendre le temps de la réflexion et de l’analyse de l’offre ;
  • diffuser ces conseils de vigilance auprès de vos services et des personnels qui sont appelés à traiter ce type de courrier dans l’entreprise ;
  • ne payer aucune somme d’argent au motif qu’elle stopperait une éventuelle action contentieuse.

Si vous vous estimez lésé, vous pouvez vous adresser à la direction départementale de la protection des populations (DDPP) ou à la direction départementale de la cohésion sociale et de la protection des populations (DDCSPP) de son département de résidence.

Pour rappel, les entreprises de moins de 5 salariés sont protégées par les dispositions du code de la consommation pour les contrats conclus hors établissement.


Les commentaires sont désactivés.