Dernièrement, le RGPD est revenu plusieurs fois au centre de l’attention. D’une part, une association , Internet Society, a requis une mise en conformité de Facebook dans les plus brefs délais. Dans le cas d’un refus, elle assignerait le géant des réseaux sociaux en justice pour un préjudice estimé à 100 millions d’euros. Par ailleurs, la France a vu 5 millions de ses comptes Facebook directement touchés par la récente attaque informatique qui a visé l’entreprise.

Cependant, l’actualité n’a pas seulement évoqué ce cas : de nombreuses arnaques au RGPD ont été signalées. En effet, plusieurs escrocs cherchent actuellement à profiter des difficultés techniques que représente le RPGD pour cibler des entreprises françaises.

Enfin, la CNIL a précisé les tenants et aboutissants des analyses d’impact.

Un oubli sur le RGPD? 

DPO? AIPD? CNIL? Registre des traitements? Chers lecteurs, pas de panique! Si vous avez oublié les points essentiels du RGPD ou n’en avez pas eu connaissance, n’hésitez pas à consulter notre article sur le RGPD.

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou en tant que sous-traitant, dès qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.
En bref, la plupart des entreprises doivent aujourd’hui réaliser plusieurs démarches administratives pour s’y conformer. Il s’agit notamment de désigner un délégué à la protection des données, réaliser un registre des traitements de données, une analyse d’impact si nécessaire, etc.

S’il demeure certain que le RGPD représente une plaie pour les entrepreneurs, la CNIL continue de rassurer sur sa bienveillance relative. Une entreprise ayant commencé à se conformer ne payera souvent pas d’amende en cas de contrôle. Pour cela, n’hésitez pas à conserver une copie numérique des démarches entreprises.
Concrètement, la CNIL cible en priorité les sociétés gérant un flux massif de données telles que LVMH, Darty, Teemo ou Fidzup. Ces deux dernières ont été récemment épinglées pour leurs transgressions.

Précisions sur l’AIPD

Autre actualité, la CNIL a précisé les contours du vaste problème posé par l’AIPD.
De plus, elle a allongé la liste des traitements pour lesquels une AIPD est nécessaire. Pour rappel, une analyse d’impact relative à la protection des données est nécessaire s’il existe des risques potentiels pour les droits/libertés des personnes physiques du fait du traitement de leurs données. Il s’agit d’une évaluation et de la création d’une feuille de route récapitulant les mesures prises pour pallier à ces risques. Par exemple, un accès limité aux bases de données, des serveurs locaux et une absence de transfert de données vers l’extérieur sont des mesures potentiellement viables.

Le CEPD a identifié 9 critères permettant de déterminer s’il existe un risque élevé lors du traitement. Pour sa part, la CNIL considère qu’un traitement remplissant 2 des 9 critères doit subir une AIPD.
Pour plus de précisions, n’hésitez pas à vous dirigez vers la récente publication de la CNIL relative aux AIPD.

Il est toutefois possible de ne pas effectuer d’AIPD si le DPO estime que le traitement ne présente pas de « risque élevé ». Cela engagera sa responsabilité et nécessitera une explication/ documentation des raisons sous-jacentes. En cas de doute, l’AIPD devrait quand même être réalisée.

Arnaques

Moins d’un an après l’entrée en vigueur du RGPD, des entreprises profitent déjà de la complexité de ce nouveau règlement pour tromper les entrepreneurs. Suite à de nombreux de cas d’escroquerie, la CNIL alarme sur les pratiques frauduleuses qu’ont subi plusieurs entreprise.

Ces pratiques peuvent prendre différentes formes.
La moins dangereuse demeure le démarchage: les entreprises profitent de la détresse des entrepreneurs pour vendre leurs services de « mise en conformité ».
Une autre forme, bien plus dangereuse pour l’entreprise, est le phishing (hameçonnage). L’entreprise ciblée donne alors accès aux données qu’elle traite. Dès cet instant, elle peut se voir victime de ransomware, d’espionnage économique ou de vol à des fins de revente des données qu’elle possède.

C’est pourquoi, la CNIL et la DGCCRF recommandent aux entreprises d’être vigilantes en respectant différentes étapes avant d’accepter une quelconque proposition:

• vérifier l’identité des entreprises démarcheuses, qui ne sont JAMAIS mandatées par les pouvoirs publics,
• vérifier les services proposés, lire le contrat,
• ne pas payer d’ « amende » pour éviter un potentiel contentieux.

Si vous êtes concernés, nous vous invitons à consulter la publication de la CNIL relative aux récentes fraudes.

Chers lecteurs, nous vous rappelons que toute la documentation nécessaire à la mise en conformité au RGPD est disponible en ligne. Vous pourrez la trouver sur notre site web via l’article RGPD mais également sur le site officiel de la CNIL.

Comptablement vôtre,

ACS Conseil