Sous couvert d’une obligation légale, des individus usurpent l’identité de la CNIL ou d’autres institutions pour soutirer des informations ou de l’argent.
Ces pratiques exploitent la peur des sanctions et la complexité du cadre réglementaire. Factures frauduleuses, mails officiels falsifiés, contrôles fictifs : les méthodes varient, mais le but reste le même – profiter de la méconnaissance des règles de protection des données. Pour les entreprises, la vigilance doit être totale.
La CNIL met en garde contre la multiplication d’escroqueries se réclamant du Règlement général sur la protection des données (RGPD). Depuis plusieurs mois, l’autorité reçoit de nombreux signalements d’entreprises approchées par de faux organismes de contrôle ou de prétendus « auditeurs RGPD ». Sous couvert d’une obligation légale, ces individus usurpent l’identité de la CNIL ou d’autres institutions pour soutirer des informations ou de l’argent.
Quand la conformité RGPD devient un terrain d’arnaque
Depuis l’entrée en vigueur du RGPD en 2018, les entreprises ont pris conscience de leurs obligations en matière de données personnelles. Ce cadre a favorisé l’émergence d’un véritable marché de la conformité : cabinets spécialisés, formations, audits, logiciels de suivi.
Mais ce contexte attire aussi des acteurs malveillants. Profitant de la notoriété de la CNIL et de la peur de l’amende, certains escrocs prétendent agir « au nom de la conformité ». Ils adressent de faux courriers officiels, menacent de sanctions, ou se présentent physiquement dans les locaux d’entreprises.
Les formes d’arnaque les plus fréquentes recensées par la CNIL sont :
- de faux courriers administratifs utilisant logo et en-tête de la CNIL ;
- de fausses prestations de mise en conformité, proposées à des tarifs excessifs ;
- des appels téléphoniques insistants évoquant une « obligation immédiate » de mise à jour RGPD ;
- de prétendus contrôles sur site, menés sans ordre de mission ni vérification d’identité.
Ces pratiques peuvent viser aussi bien de grandes structures que des TPE, souvent moins armées pour distinguer un vrai contact officiel d’une tentative frauduleuse.
Comment reconnaître une tentative d’escroquerie
1. Des messages pressants et alarmistes
Le premier signe d’une fraude est la pression temporelle. Les messages évoquent souvent une « mise en conformité urgente » ou une « amende immédiate ». La CNIL rappelle qu’elle ne réclame jamais de paiement ni de régularisation dans l’urgence.
2. Une demande de paiement ou de données confidentielles
Aucun organisme public ne facture une prestation de conformité RGPD. Si un interlocuteur exige un règlement pour éviter une sanction, il s’agit d’une arnaque. De même, toute demande de coordonnées bancaires, d’accès aux serveurs ou de fichiers de clients doit être refusée.
3. Des contacts flous ou invérifiables
Les escrocs utilisent souvent des adresses e-mail proches de celles d’organismes officiels, mais comportant de légères variantes : cnil-rgpd@france-conformite.fr, par exemple. Un site sans mentions légales claires ou un numéro de portable unique doivent aussi alerter.
4. Des inspections suspectes
Un contrôle de la CNIL se déroule toujours selon un protocole précis : les agents se présentent à plusieurs munis d’un ordre de mission signé et d’une carte professionnelle. Si une personne prétend mener une inspection sans ces éléments, il faut refuser l’accès et contacter directement la CNIL via ses canaux officiels.
Les bons réflexes à adopter en prévention
1.Sensibiliser les collaborateurs
La prévention passe par l’information. Les salariés doivent être formés à identifier les signaux d’alerte : e-mails suspects, demandes pressantes, menaces de sanction. Une sensibilisation régulière limite considérablement le risque d’intrusion.
2.Vérifier l’identité des interlocuteurs
Avant toute réponse, il convient de :
- vérifier l’adresse e-mail et le domaine de l’expéditeur ;
- rechercher la société ou le nom mentionné sur Internet ;
- contacter la CNIL ou un avocat pour confirmer la légitimité du contact.
Aucun paiement ne doit être effectué sans vérification.
3.Formaliser une procédure interne
Mettre en place une chaîne de validation en cas de contact suspect permet d’éviter les décisions hâtives. Le service juridique ou le DPO (délégué à la protection des données) doit être immédiatement informé de tout courrier, e-mail ou appel évoquant le RGPD.
Comment réagir en cas d’arnaque avérée
Si l’entreprise a déjà communiqué des informations ou versé de l’argent, plusieurs démarches sont recommandées, conformément aux conseils de la CNIL et de Service-public.fr.
1.Contacter sans délai sa banque
En cas de virement frauduleux, il faut demander immédiatement un rappel de fonds (« recall »). Cette procédure n’offre aucune garantie, mais la rapidité augmente les chances de blocage.
2.Cesser tout échange avec les fraudeurs
Ne plus répondre, ne pas cliquer sur les liens, et ne pas ouvrir les pièces jointes. Certains escrocs utilisent plusieurs adresses ou reviennent sous d’autres identités : mieux vaut couper tout contact.
3. Signaler l’arnaque aux autorités compétentes
Plusieurs canaux existent :
- THESEE, la plateforme gouvernementale de signalement des arnaques en ligne ;
- Signal Spam, pour les e-mails ;
- Pharos, pour les escroqueries sur Internet ;
- 33700, pour les SMS.
Une plainte peut également être déposée auprès de la gendarmerie, de la police ou du procureur de la République.
4. Prévenir la CNIL
Si l’escroquerie se réclame du RGPD, la CNIL invite les entreprises à lui transmettre les preuves (courriers, e-mails, noms d’interlocuteurs) via son site officiel. Cela permet à l’autorité de mieux repérer les réseaux frauduleux.
5. Conserver les éléments de preuve
Il est essentiel de garder toutes les pièces : e-mails, factures, captures d’écran, correspondances. Ces documents pourront être utilisés lors du dépôt de plainte ou d’une éventuelle procédure judiciaire.
5. Un principe de prudence et de vérification systématique
La conformité au RGPD repose sur la transparence et la rigueur, mais jamais sur la peur ou la précipitation. Les entreprises ont tout intérêt à s’entourer de prestataires reconnus et à vérifier chaque contact se réclamant d’une autorité publique.
Adopter une culture de vigilance, c’est protéger à la fois ses données, son image et ses collaborateurs. Dans un contexte où les escroqueries se professionnalisent, la meilleure défense reste la vérification systématique : aucun paiement, aucune information, sans validation préalable.