À trois mois de la date d’application du règlement général sur la protection des données (RGPD), la Cnil (Commission nationale informatique et libertés) lance l’alerte. Elle a en effet été informée que des entreprises « peu scrupuleuses » cherchent à prendre contact avec des petites entreprises, par téléphone ou par fax, afin de leur proposer une prestation « clé en main » capable de garantir la conformité avec le RGPD. Destiné à améliorer la protection des données personnelles des personnes physiques, ce règlement s’inscrit dans la même philosophie que les textes existants, en l’occurrence la loi « informatique et libertés » de 1978 et la directive européenne de 1995. Il apporte cependant un certain nombre d’améliorations et de nouvelles obligations pour les entreprises (lire l’encadré).

L’élément le plus connu de ce nouveau texte est le montant des sanctions possibles, les plus élevées jamais appliquées dans le domaine de la protection des données personnelles. Les personnes proposant par téléphone une « mise en conformité » cherchent donc d’abord à alarmer leurs correspondants en brandissant la menace de ces pénalités financières inédites. Certains de ces intervenants se présentent comme étant « labellisés », « mandatés » ou « recommandés » par la CNIL, voire d’en faire partie.

La plus grande vigilance est nécessaire. Les aigrefins qui cherchent à tirer profit du manque d’information des dirigeants de petites entreprises mobilisent en effet des moyens parfois conséquents pour inspirer confiance. Ainsi, certains appels peuvent émaner d’une société véritablement immatriculée au RCS et qui dispose d’un site internet faisant d’ailleurs largement référence à la Cnil. Ces artefacts n’ont d’autre but que de donner à ces intervenants une apparence de légalité et d’expertise juridique.

Ces messages, indique la Cnil, « peuvent avoir pour but de vous faire appeler un numéro de téléphone surtaxé, de vous faire signer un engagement frauduleux pour une « mise en conformité Informatique et libertés (ou RGPD) » ou de collecter des informations sur votre organisation pour préparer une escroquerie ou une attaque informatique ».

Avant tout, la Cnil recommande aux entreprises de chercher en ligne des informations sur la société qui prend contact avec elles. « Il faut regarder leur date de création, confirme Xavier Leclerc, créateur de la société DPMS en 2016, spécialisée dans la protection des données personnelles, et fondateur de l’Union des Data Protection Officer (DPO). Assurer la mise en conformité RGPD ne s’apprend pas en trois mois ou même en un an. » D’autres signes doivent susciter la méfiance, ajoute Xavier Leclerc : « Un professionnel de la mise en conformité ne commencera jamais par un audit. » Il préconise également de procéder à des vérifications simples : « Un dirigeant peut aussi demander ce que comptent faire ces personnes et leur demander quels outils il faudra enregistrer. C’est une question piège évidemment puisque le RGPD n’exige aucun enregistrement d’outil, quel qu’il soit, mais de la finalité du traitement dont l’outil est un instrument. »

En application à partir du 25 mai 2018, le Règlement général sur la protection des données (RGPD) impose un consentement renforcé et davantage de transparence. Les entreprises doivent fournir aux personnes concernées par les traitements de données une information claire, intelligible et aisément accessible. Le RGPD institue aussi de nouveaux droits comme la portabilité des données. Une personne pourra récupérer, sous une forme aisément réutilisable, les données qu’elle a fournies en vue de les transférer ensuite à un tiers. Le RGPD prévoit aussi des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information relative aux traitements de données les concernant doit être claire et simple. Le consentement sera recueilli auprès du titulaire de l’autorité parentale. Devenue adulte, la personne peut retirer le consentement donné sur un traitement et exiger que les données soient effacées.