Contrôles CNIL par rapport au RGPD : attention, suspicion d’arnaques !

Le RGPD est le Règlement européen Général pour la Protection des Données personnelles , en vigueur depuis le 25 mai 2018. Il a pour objectifs :
- l’amélioration de la protection et la confidentialité des données personnelles ;
- le renforcement des droits des personnes dont les données sont traitées ;
- la responsabilisation des entreprises : c’est au responsable du traitement des données de prendre toutes les mesures requises pour garantir la conformité dudit traitement.

Toutes les entreprises sont concernées par ce Règlement, dès lors que l’entreprise traite de données personnelles, relatives notamment à des salariés (registre du personnel, badgeuse, réseau intranet, outils de géolocalisation) ou des clients (fichiers clients ou prospects, réseaux sociaux, site Internet, vidéosurveillance).

Une donnée personnelle est une information qui permet d’identifier, directement ou indirectement, une personne physique.

Le service juridique a reçu en quelques jours plusieurs signalements d'entreprises adhérentes, qui ont été approchées selon un même processus : contact téléphonique d’un (prétendu ?) inspecteur de la CNIL pour être sanctionnées et se mettre en règle. Votre interlocuteur vous renvoie vers un n° téléphonique où l'on vous demandera de régler un montant pour vous « mettre en règle ». (Et après ? ....)

Aucune entreprise artisanale n’étant réellement à jour concernant ces obligations, toutes les PME sont des cibles de choix pour des individus peu scrupuleux.

Nos instructions : n'y donnez pas suite en l'état, ne payez rien dans le cadre de prétendus contrôles « à distance » !. Dans le cadre des obligations d'ordres administratif RGPD, Document unique, …), un simple contact téléphonique relève pratiquement toujours d'une arnaque, une démarche officielle va toujours prendre toujours la forme d'une notification écrite, dont l'authenticité devra toujours être quand même vérifiée.

Tout contrôle de la CNIL doit faire l'objet d'un procès-verbal écrit préalable. C'est ce qui ressort des mentions portées sur son site officiel, résumées ci-dessous :

Les contrôles de la CNIL peuvent se dérouler sur place, sur pièces, sur audition ou en ligne. Dans tous les cas,

> Le contrôle sur place : une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données à caractère personnel.

> L’audition sur convocation : un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Commission. Ces représentants devront répondre à des questions portant sur le(s) traitement(s) objet des vérifications et, le cas échéant, rendre possible un accès aux ressources informatiques de l’organisme.

> Le contrôle en ligne : les agents de la CNIL effectuent des vérifications, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. Ces vérifications sont effectuées à partir d’un service de communication au public en ligne (par exemple, sur un site internet, une application mobile ou un produit connecté) et peuvent, le cas échéant, être réalisées sous une identité d’emprunt.

La CNIL pourra par exemple initier ses vérifications en ligne et les poursuivre sur place. Un contrôle sur pièces pourra également être opéré préalablement à un contrôle sur place. Il préfigure donc un contact ultérieur avec une prise de date de rendez-vous.

Toutes les entreprises étant tenues aux obligations nées du RGPD, ce peut-être juste l'occasion pour votre entreprise de faire le point sur les démarches que vous avez accomplies pour sécuriser les données personnelles et fichiers que vous exploitez, et de compléter vos mesures de prévention en la matière (CF le « Kit de survie de l'artisan CAPEB »), ainsi que nos précédentes communications juridiques sur notre site Internet CAPEB des 21 et 26 mars 2018).