RGPD: les petites entreprises exposées aux escroqueries

Ils ont rapidement flairé l'aubaine et opèrent sur tous les supports. Plusieurs groupes organisés profitent de l’entrée en application du règlement général sur la protection des données (RGPD) pour tenter d'abuser de la faiblesse des entreprises, associations et administrations en leur soutirant de l'argent ou des informations confidentielles.

Le RGPD, applicable depuis le 25 mai, enjoint les entreprises amenées à manipuler des données personnelles à être davantage scrupuleuses dans l’exploitation de ces informations, sous peine d’écoper de sanctions dissuasives. Les amendes infligées en cas de non respect du texte sont plafonnées à 20 millions d'euros ou 4% du chiffre d'affaires, pour les plus grands groupes. 

Le retour du fax

Les tentatives d'escroquerie mises en avant ces dernières semaines tirent profit de cette crainte. Leurs responsables opèrent le plus souvent de manière agressive, en agitant le drapeau d'une sanction à venir. Dernière trouvaille en date : le fax faisant mention d'un non respect des prérequis du RGPD et invitant à passer un appel pour être "régularisé".

"Cela fait désormais une dizaine de jours que nos clients nous signalent de tels faxs", note Gérôme Billois, expert en cybersécurité au sein du cabinet de conseil Wavestone. "Cela fait doucement rire certains grands groupes, dont plusieurs de nos clients. En revanche, on peut imaginer que certaines PME pensent se retrouver dos au mur." Un constat d'autant plus vrai lorsque le fax en question est faussement signé par un tribunal administratif. 

Pour se mettre en conformité, les entreprises doivent transmettre des informations les concernant, dont leur numéro de SIRET, un numéro de téléphone ou autres données pouvant être réutilisées dans le cadre d'une escroquerie, voire d'une attaque informatique. Certaines sont également invitées à payer plusieurs centaines d'euros. "Des personnes se font passer pour des professionnels en se recommandant soit de l’UNION, de l’UNHJ ou de la Chambre nationale et demandent de régler la somme de 990€ aux fins de mise en conformité", note ainsi le 14 juin l'Union nationale des huissiers de justice. 

Des trésors d'inventivité

"Les arnaques au RGPD ont commencé à se développer depuis le début de l'année, et suivent le même mode opératoire que les arnaques au permis de conduire ou encore à l'accessibilité", rappelle Gérôme Billois. "Elles ont dans un premier temps eu trait à du démarchage commercial, par mail, et la vente de solutions clés en main pour se mettre en conformité". Autant d'initiatives qui ont pu faire de l'ombre à la mise en place de certaines lignes téléphoniques crédibles de conseils gratuits, telles que celle de France RGPD. A l'époque, plusieurs panneaux répartis en région parisienne faisaient mention de "solutions immédiates" pour se mettre en conformité avec le texte.

La CNIL, l'autorité de contrôle chargée de surveiller l'application du RGPD, dénonce ces démarchages peu scrupuleux. "La mise en conformité nécessite plus qu’un simple échange ou l’envoi d’une documentation sur le RGPD. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données, pour identifier les actions à mettre en place et assurer un suivi", note ainsi l'institution. 

Plusieurs recommandations sont à suivre pour se prémunir contre ces escroqueries. Vérifier l’identité des entreprises démarcheuses; vérifier la nature des services proposés; lire attentivement les dispositions contractuelles ou pré-contractuelles; enfin, et surtout, ne jamais débourser une somme d'argent au motif qu'elle stopperait une éventuelle action contentieuse.