Établissements de santé : gare aux arnaques au RGPD !

Le RGPD (Règlement général du droit des données à caractère personnel) impose à l’ensemble des entreprises et organismes publics exerçant leur activité sur le territoire de l’Union européenne le respect d’une réglementation stricte quant aux données personnelles qu’elles collectent.

En particulier, elle impose aux établissements de santé, aux pharmacies et aux médecins qui collectent les données de santé de leurs patients considérés comme des données particulièrement sensibles et intrusives de la vie privée, des obligations de sécurité renforcées.

La CNIL a ainsi indiqué dans le cadre de la lutte contre l’épidémie de la Covid-19 qu’elle serait particulièrement vigilante quant au respect du RGPD par les professions de santé et multiplierait les contrôles dans le milieu médico-social pour l’année 2021. 

Dans ce contexte, des groupes de criminalité organisée envoient actuellement à ces sociétés et organismes évoluant dans le milieu médico-social des notes d’informations et des mises en demeure qui s’apparentent à des documents officiels avec un numéro de téléphone dédié par lesquels elles sont fermement invitées à se mettre en conformité avec le RGPD et en proposant de faux services d’assistance à cette mise en conformité. 

Ce type d’arnaque : 

• est envoyé par fax, courrier ou e-mail ; 
• utilise des termes ou des symboles laissant penser que le message est adressé par un service public (drapeau tricolore, « Marianne » ou logo européen) ; 
• évoque de lourdes sanctions financières ; 
• incite à prendre contact par téléphone ou par e-mail ; 
• propose une pseudoconformité RGPD payante. 

Le mode opératoire est le suivant : 

• Une personne appelle par téléphone, demande la direction et se présente comme travaillant à la CNIL puis reproche (assez fermement) à la clinique de ne pas avoir envoyé son registre RGPD signé à la CNIL ce qui lui vaut de faire l’objet d’un contrôle.
• le numéro affiché est celui de la CNIL, mais il s’agit d’une usurpation de numéro de téléphone (il ne s’agit pas du vrai numéro)
• La personne indique un numéro de téléphone d’un expert à appeler pour planifier une visite de contrôle
• La personne dit que la clinique doit signer immédiatement un certificat de prise en charge sous peine d’amende majorée

De nombreuses régions en France sont actuellement concernées le Béarn, la Bretagne, l’Oise. 

Cette arnaque est constitutive du délit d’escroquerie réprimé par l’article L 313-1 du

Code pénal à hauteur de cinq ans d’emprisonnement et de 375 000 euros d’amende et qui est le fait soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’emploi de manœuvres frauduleuses, de tromper une personne et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds. 

« Pour les victimes de cette escroquerie ou tentative d’escroquerie, selon que les victimes aient payé ou non, il est nécessaire de dénoncer les faits par la rédaction d’une plainte auprès de la CNIL, de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et du Procureur de la République du lieu où se trouve l’établissement, afin de recouvrer les sommes perdues ».

Alexandre LAZAREGUE
Avocat au Barreau de Paris
222, Boulevard Saint-Germain
75007 Paris
Tél : 01.84.88.95.59
Tél : 06.16.72.22.73
www.lazaregue-avocats.fr