RGPD : les structures de santé subissent une augmentation des démarchages frauduleux

De nombreuses structures de santé ont rapporté avoir reçu des messages en provenance du "pôle administratif RGPD". Ces messages sont bien rédigés et comportent peu de fautes. Ils indiquent aux structures de santé qu’elles ne sont pas en conformité par rapport au RGPD, et les incitent à contacter un numéro de téléphone pour obtenir une assistance.

Ces escroqueries sont distinguables par l’injonction à appeler un service d’assistance pour se mettre en conformité et par l’inexistence d’agence ou de pôle RGPD. En effet, en France, seule la CNIL (Commission Nationale de l’Informatique et des Libertés) est habilitée à émettre ce type d’avis ou des sanctions à l’encontre d’un établissement.

Le service d’assistance a essayé de vendre aux structures de santé des documents clé en main, comme un modèle de registre de traitements des données (document pourtant en accès libre sur le site de la CNIL). Si une structure de santé est victime d’une telle escroquerie, elle est invitée à contacter le pôle protection des populations de son département (DDCSPP ou DDPP selon le département).

La CNIL avait déjà dénoncé ces dérives en juin dernier dans ce communiqué.

Par ailleurs, les structures recherchant une aide pour se mettre en conformité au RGPD peuvent se tourner vers les documents mis à disposition par la CNIL ici, ici et ici.