RGPD: recrudescence des démarchages trompeurs auprès des professionnels de santé

PARIS, 12 septembre 2018 (TICsanté) - Plusieurs responsables informatiques d'établissements et professionnels de santé ont partagé ces dernières semaines sur les réseaux sociaux des courriers trompeurs, reçus sur leur lieu de travail, les invitant à joindre un service d'assistance téléphonique pour se mettre en conformité au règlement général européen sur la protection des données personnelles (RGPD).

Le courrier en question se présente comme un "bulletin d'information", signé par un "gestionnaire RGPD" ou par un directeur de "pôle administratif RGPD".

Il rappelle l'entrée en vigueur, le 25 mai 2018, du règlement européen qui encadre l'utilisation des données personnelles (voir dépêche du 29 mai 2018), et met en avant les sanctions financières prévues en cas de non-respect du règlement.

Le courrier invite dès lors son destinataire à se "mettre en conformité sans délai" en contactant un "pôle de traitement RGPD" à un numéro d'assistance téléphonique débutant par un 09 (les numéros varient selon les courriers).

Interrogé par TICsanté, l'avocat spécialisé en droit du numérique et des données, Pierre Desmarais, a confirmé avoir été contacté par des professionnels de santé destinataires du courrier.

Il a souligné un "regain d'intérêt" de ces démarches peu scrupuleuses envers les professionnels du secteur en cette rentrée. Certains d'entre eux seraient tombés dans le piège et auraient acheté un modèle de registre de traitements des données pour près de 1.000 euros en appelant le numéro de téléphonique indiqué dans le courrier.

"L'arnaque est facilitée par l'augmentation de la réglementation technique imposant la tenue de certaines documentations. Ces organismes profitent de l'ignorance pour vendre le support ou une notice à prix d'or. Elle pourrait donc continuer à se propager sur d'autres thématiques", a expliqué Me Desmarais.

Pour rappel, la Commission nationale de l'informatique et des libertés (Cnil) fournit déjà gratuitement sur son site des modèles de registre, pour répondre aux besoins les plus courants en matière de traitement de données et pour satisfaire aux exigences du règlement.

Elle a par ailleurs publié, avec le Conseil national de l'ordre des médecins (Cnom), un guide pratique à l'attention des médecins sur la protection des données personnelles, afin de les accompagner dans l'application du RGPD (voir dépêche du 25 juin 2018).

Envois de mail contenant le logo de la Cnil pour proposer de fausses "déclarations RGPD", démarchages agressifs pour vendre un service d'assistance: les arnaques portant sur la mise en conformité au règlement se sont multipliées depuis son entrée en vigueur.

En juin dernier, la Cnil et la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ont alerté sur ces pratiques abusives dans un communiqué de presse.

Elles ont détaillé les "principaux réflexes" à avoir en cas de démarchage, invitant les acteurs concernés à vérifier l'identité des entreprises démarcheuses "qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité".

Elles ont souligné l'importance de vérifier la nature des services proposés. "La mise en conformité au RGPD nécessite plus qu'un simple échange ou l'envoi d'une documentation. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps", ont-elles précisé.

La Cnil et la DGCCRF ont également recommandé de "ne payer aucune somme d'argent au motif qu'elle stopperait une éventuelle action contentieuse".

Si l'arnaque est avérée, la structure ou le particulier victime est invité à s'adresser à la direction départementale de la protection des populations (DDPP) ou à la direction départementale de la cohésion sociale et de la protection des populations (DDCSPP) de son département de résidence.

rm/ab