À quelques mois de l’entrée en application du Règlement Général sur la Protection des Données (RGPD), la pression monte. Par manque de connaissance ou de temps, des PME peuvent être tentées par des solutions « miracles ». Méfiance !
Les escrocs s’appuient toujours sur les mêmes ressorts psychologiques pour convaincre de potentielles victimes. C’est le principe du phishing, ces emails usurpant l’identité d’une banque ou des impôts et vous demandant de redonner vos identifiants sous divers prétextes. Rappelons qu’il ne faut jamais répondre à ces demandes. En cas de doute, il est préférable d’appeler sa banque ou l’administration fiscale.
Les faux messages de la CNIL
La même technique est aujourd’hui employée par des escrocs à l’occasion de l’arrivée du RGPD. La Commission nationale de l’informatique et des libertés (CNIL) a publié une alerte sur des mises en demeure administrative envoyées par fax et par téléphone à des entreprises. Comme pour le phishing, ce message insiste sur les sanctions financières encourues si les PME ne répondent pas très rapidement.
Le but ? Faire peur aux chefs d’entreprise et les inciter à rappeler un numéro de téléphone surtaxé, à signer un engagement frauduleux pour une « mise en conformité Informatique et Libertés (ou RGPD) » ou à collecter des informations sur votre société.
Là aussi, la CNIL n’envoie pas ce type de message. En cas de doute, contactez directement cet organisme officiel, par téléphone au 01 53 73 22 22 ou par fax au 01 53 73 22 00.
Solutions miracles
Ces emails frauduleux ne sont pas les seules menaces profitant du RGPD. L’échéance de mai 2018 approchant, de multiples offres de mise en conformité avec ce texte apparaissent sur Internet. Certaines sont proposées par d’obscures entreprises qui n’affichent aucun nom d’expert ni la moindre mention légale sur leurs pages web. Il y a juste un email non nominatif… Comment dès lors faire confiance à des soi-disant spécialistes en conformité avec le RGPD si eux-mêmes ne respectent pas les obligations légales sur leurs sites.
Autre menace : les solutions logicielles miracles. Sur les moteurs de recherches, il suffit de taper « RGPD » pour voir apparaître en premier des annonces de solutions SaaS qui permettent au responsable de traitement d’une entreprise d’organiser sa mise en conformité. Méfiance là aussi, car il est très difficile de savoir qui se cache derrière ces annonces…
Être accompagné
Certains éditeurs de logiciels ayant pignon sur rue proposent aussi des solutions capables d’automatiser la majorité des opérations nécessaires à la mise en conformité. Si l’automatisation permet de gagner un peu de temps, elle ne peut pas remplacer une analyse personnalisée faite par des experts spécialisés en sécurité informatique et maîtrisant les aspects juridiques. Auditer précisément une PME ne peut se faire à distance.
Être en conformité avec le RGPD implique en effet une prise de conscience de tous les salariés pour qu’ils intègrent la protection des données à caractère personnel dans tous leurs projets. Des formations de sensibilisation aux bonnes pratiques et permettant de comprendre (et d’appliquer correctement) les différents mécanismes de sécurité (comme le chiffrement des données, la gestion des mots de passe…) sont indispensables.
Le RGPD est un texte complexe. Il est donc recommandé d’être accompagné tout au long de l’année pour adapter sa politique de sécurité. Il ne faut surtout pas succomber à la panique (les emails frauduleux) ou à la tentation (acheter un logiciel).
RGPD : Le guide pour les Petites et Moyennes Entreprises
Les informations dont vous avez besoin pour comprendre et aller de l’avant
Prochaine lecture recommandée
Brexit : quels effets collatéraux pour les entreprises françaises ?
