1

Arnaque sur internet: l’exemple de l’héritage.

Beaucoup de personnes rêvent de gagner au loto ou encore de recevoir un coup de téléphone d’un notaire ou d’un généalogiste leur annonçant qu’un oncle d’Amérique leur a légué une grande partie de sa fortune voire toute sa fortune.

L’argent facile fait rêver et empêche parfois certaines personnes de réfléchir, de raisonner.

C’est ce qui s’est passé pour un internaute qui m’a contacté dans un premier temps par téléphone, il parlait allemand et anglais, mon assistante a cru comprendre que j’avais hérité d’une forte somme d’argent (elle a compris 9000 euros, j’ai pensé ok mais bof ) et que je devais donner mes coordonnées bancaires.

Tentative d’escroquerie de toute évidence, je n’ai pas rappelé ce prétendu donateur.

Puis, je reçois un mail très étrange posté de ma page contact de mon Blog, la même personne prétend être en contact avec moi depuis la fin juillet, me parle de cet héritage et me demande encore une fois mon RIB pour faire le virement.

Je m’agace et indique à cette personne que non, je ne donnerai pas mon RIB, que je l’appellerai pas car si j’ai hérité, il y a sûrement un testament, un acte officiel, je n’ai pas à donner mes coordonnées bancaires pour percevoir un héritage.

En envoyant ce mail, je me suis dis que quand même cet arnaqueur était vraiment pas très malin de vouloir s’attaquer à une avocate ou alors il pense peut-être que les cordonniers sont les moins bien chaussés mais bon il me semble toutefois un peu limité, pas un escroc de haut vol.

Le prétendu escroc me répond dès le lendemain pour m’expliquer que nous nous sommes pas compris, en fait c’est lui qui doit hériter et qu’il communiquait avec moi par mail (il me donne une adresse mail qui n’est pas la mienne: adresse gmail). Mon « avatar » aurait promis de verser non pas 9000 euros mais 950 000 euros à ce naïf internaute à la condition que ce dernier lui verse 450 euros pour la rédaction des actes.

Je lui ai demandé de m’adresser les échanges de mails et je suis assez surprise de la naïveté dont il a pu faire preuve mais en même temps comme dirait EM  il pensait être en contact avec un avocat…

En effet, l’avocat le tutoyait ( bon à part certains pénalistes, rares sont les confrères qui tutoient leurs clients), il prétendait que la fameuse donatrice habitait au Canada et qu’elle était mourante et qu’il souhaitait rédiger les actes avant de partir la visiter au Canada et lui tenir la main pour l’accompagner vers l’au-delà ( c’est moi qui ajoute ce côté romantique). L’avocat est charitable, il prête serment d’exercer ses fonctions avec humanité mais je n’en connais aucun qui a accompagné ses clients mourants.

Mais comme on dit, plus c’est gros plus ça passe:

    • une personne habitant au Canada que vous ne connaissez pas vous contacte pour vous dire qu’elle est malade et souhaite vous léguer sa fortune comme ça , ça lui a pris d’un seul coup, et si je léguais mon argent à une personne vivant en Allemagne que je ne connais pas. Des passages de la bible sont insérés dans le mails avec deux ou trois citations des témoins de Jéovah.
    • cette personne vous demande de prendre contact avec son avocat en France, à Bordeaux (pourquoi faire simple quand on peut faire compliqué, la donatrice habite au Canada et un avocat bordelais gère ses affaires) dont elle recopie soigneusement la biographie trouvée sur internet… Elle vous communique une adresse mail de cette avocate pour vous rassurer.
  • vous échangez avec cet avocat de France qui vous tutoie dès le départ (en France on est cool c’est bien connu) et vous presse pour effectuer un versement sur son compte afin de vous transférer cet héritage car l’avocat doit se rendre au chevet de sa cliente au Canada.

Quelle Belle Histoire !

La réalité est tout autre: l’héritage n’existe pas, l’avocat existe mais ne vous a jamais écrit ce mail car son identité a été usurpée ( j’ai d’ailleurs porté plainte).

Cette arnaque est vieille comme le monde d’internet, le journal 20 minutes a consacré un article sur cette escroquerie dite de l’héritage: La fameuse arnaque à l’héritage fait son retour.

Que faire si vous êtes victime d’une telle arnaque ?

    • signaler à internet-signalement les adresses mails litigieuses, site mis en place par le Ministère de l’Intérieur
    • porter plainte auprès de la police, gendarmerie ou auprès du Procureur de la République pour escroquerie si vous avez versé de l’argent à cet ou ces escroc(s)
  • soyez zen et essayez de relativiser car il y a peu de chance que vous récupériez la somme d’argent que vous avez versée indûment car ces escroqueries proviennent le plus souvent de l’étranger et il est difficile retrouver les escrocs et surtout de les faire comparaître devant un Tribunal.

Professionnels que faire si on utilise votre nom et votre identité pour ce genre d’escroquerie ?

    • signaler l’adresse mail litigieuse qui n’est pas la vôtre au Ministère de l’Intérieur (même adresse que ci-dessus)
    • signaler à gmail (si c’est gmail) ou tout autre « opérateur », pour gmail il y a une possibilité de signaler l’usurpation d’identité en remplissant un formulaire qui malheureusement ne peut être enregistré, vous n’avez aucune preuve de l’envoi de ce mail, vous ne pouvez pas en garder une trace, ce qui est bien dommage. De plus gmail en cas d’usurpation d’identité vous conseille de vous adresser aux autorités compétentes de votre pays. Il est bien dommage que les identités ne soient pas contrôlées à l’ouverture d’un compte mail.
    • pour l’usurpation d’identité, la CNIL n’est pas compétente, il faut porter plainte auprès du Procureur de la République ou auprès de la police ou gendarmerie sur le fondement de l’article 226-4-1 du Code Pénal. Il faudra apporter tous les éléments en votre possession qui démontrent cette usurpation d’identité.
  • une idée: écrire à l’escroc sur l’adresse mail qui usurpe votre identité et lui indiquer: Coucou moi, je sais que vous vous faites passer pour moi, vous usurpez mon identité, c’est sanctionné par la loi, j’ai signalé votre manège à google, au Ministre de l’Intérieur, à Twitter et Facebook et j’ai porté plainte aussi. Je voulais vous en informer et ce n’est pas un spam. Bisous. Peut-être que ce mail dissuadera l’escroc d’utiliser encore cette adresse mail.

Le mieux est donc de prévenir plutôt que guérir et retenir qu’en matière d’héritage, le notaire vous contactera mais on ne vous demandera jamais de virer de l’argent sur le compte d’un soit disant professionnel, avocat ou notaire afin que vous puissiez percevoir ce beau présent, il existe « toute une procédure » et des actes pour officialiser votre qualité d’héritier cela ne se fait pas par deux trois échanges de mails ! !

Et évidemment: ne donnez jamais d’informations personnelles à un internaute qui vous contacte par mail ou par les réseaux sociaux, on ne donne pas ses codes secrets, ses coordonnées bancaires ou encore son RIB à personne même si le mail est soit disant adressé par les impôts, EDF ou encore la CAF ( c’est ce qu’on appelle le phishing).




RGPD et avocats : conseils pratiques pour être en règle.

RGPD, RGPD depuis quelques semaines, ces initiales sont omniprésentes sur la toile, Facebook vous demande de vérifier vos données personnelles avant le 25 mai 2018 pour respecter le RGPD, le CNB (notre institution représentative vient de publier un guide : RGPD et avocats, il est en ligne: Guide du CNB RGPD et avocats, les entreprises commencent à paniquer et à s’intéresser à cette question car ne pas être en règle avec le RGPD c’est s’exposer à de fortes amendes.

Mais qu’est- ce donc le RGPD ? Que faut-il retenir ?

Comment être en règle, nous, avocats, qu’est ce qu’il faut faire car c’est cela la question au delà des grands principes que l’on trouve très facilement sur la toile.

Qu’est-ce que le RGPD ?

Le RGPD est une abréviation signifiant : règlement général sur la protection des données, il est relatif plus exactement au règlement de l’Union Européenne n°2016/679 relatif à la protection des données directement applicable dans l’ensemble des Etats Membres à partir du 25 mai 2018.

Pour savoir les principales mesures de ce règlement, vous pouvez lire mon article: Données personnelles et RGPD, quel intérêt pour les particulier ?

Les avocats sont-ils concernés par le RGPD ?

Oui, les avocats sont concernés par le RGPD. Comme l’indique le CNB  sur sa FAQLe RGPD ne s’applique pas spécifiquement aux avocats mais à toute personne qui est amenée à traiter des données personnelles ce qui inclut les avocats. La protection des données « sensibles » dont l’avocat a connaissance est inhérente au lien de confiance unissant l’avocat à son client et au respect de ses obligations déontologiques, plus particulièrement celles du secret professionnel.

Quelles sont les obligations pour les avocats  dans la gestion de leurs clients?

Les avocats qu’ils soient connectés ou pas, qu’ils alimentent un site internet ou pas doivent informer leurs clients du traitement de leurs données personnelles.

En effet, même si vous traitez vos dossiers à la machine à écrire et au carbone, que vous n’utilisez pas les mails mais seulement les courriers postaux pour communiquer, vous êtes une espèce rare qui devra tout de même se conformer au RGPD.

Je ne traiterai que les obligations des avocats à l’égard de leurs clients.

En effet, les avocats comme les entreprises auront des obligations à l’égard de leur personnel, je vous renvoie au guide du CNB pour étudier ces obligations (Fiche n°1 traitement RH des RGPD), de même les avocats ont des obligations particulières dans l’hypothèse où ils utilisent la viodéosurveillance ( à lire fiche n°3).

1- Faut-il désigner un délégué à la protection des données ?

Ce n’est pas obligatoire mais conseillé nous précise le CNB.

A mon sens, lorsque comme moi, vous gérez un cabinet individuel comprenant une secrétaire et une associée (GIE), il n’est pas nécessaire de désigner un délégué à la protection des données.

Il convient de désigner un « pilote », un membre du cabinet qui sera chargé de la protection des données personnelles et sera référent avec le personnel et le ou les collaborateurs.

2- Les questions à vous poser dans le cadre du traitement des données personnelles de vos clients.

La CNIL préconise de cartographier vos traitements de données personnelles.

Il faut vous poser les questions suivantes:

  • qui ?
  •  quoi?
  • pourquoi?
  • où?
  • jusqu’à quand ?
  • comment ?

Une fois, cette cartographie effectuée vous pourrez tenir votre registre des activités de traitement.

Voir la fiche de la CNIL sur la cartographie: Cartographier vos traitements de données personnelles.

3- La tenue d’un registre des activités de traitement.

Pour la plupart des cabinets d’avocats ce registre devra être tenu.

Il n’est plus obligatoire de déclarer le traitement des données personnelles à la CNIL.

En contrepartie de cette suppression, il conviendra de tenir un registre des activités de traitement des données personnelles.

Ce dernier est obligatoire pour les entreprises de plus de 250 salariés donc on pourrait croire que pour la plupart des cabinets, ce registre n’a pas être tenu.

Attention, pour la plupart des cabinets, il faudra tenir ce registre car nous traitons de données sensibles ou se rapportant à des condamnations pénales dont le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées.

Comment se présente ce registre ? 

La CNIL a mis en ligne un modèle de registre: Modèle de registre RGPD

Il est très bien fait, didactique, ci-dessous le début du registre téléchargeable sous word, pdf et même excel.

Ce registre vous permettra de démontrer à la CNIL si vous avez un contrôle que vous avez mis en place un « process » pour protéger les données personnelles que vous traitez, votre sensibilisation à la question sera démontrée grâce à ce document.

Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures.

Ce document vise à recenser les traitements de données personnelles mis en œuvre dans votre organisme en tant que responsable de traitement. Centralisé et régulièrement mis à jour, il vous permet de répondre à l’obligation de tenir un registre prévue par le RGPD.

Une fois ce recensement effectué, vous serez en mesure de procéder à l’analyse des traitements de données personnelles à la réglementation.

Composition du document
1. Une première page du registre recense les informations communes à toutes vos activités de traitement.

Les coordonnées de votre organisme (ou de son représentant sur le territoire européen si votre organisme n’est pas établi dans l’Union européenne)
Les coordonnées du délégué à la protection des données (DPO) si vous en disposez
La liste des activités de votre organisme impliquant le traitement de données personnelles.

2. Pour chaque activité recensée, vous devrez créer et tenir à jour une fiche de registre.

Les pages suivantes constituent le modèle de fiche de registre, que vous devrez remplir pour chacune de ces activités.
Registre des activités de traitement de [Nom de l’organisme]

Coordonnées du responsable de l’organisme (responsable de traitement ou son représentant si le responsable est situé en dehors de l’UE)
Ex  : NOM prénom du responsable légal
Adresse
CP VILLE
Téléphone
Adresse de messagerie
Nom et coordonnées du délégué à la protection des données  (si vous avez désigné un DPO)
Ex  : NOM prénom du DPO
Société (si DPO externe)
Adresse
CP VILLE
Téléphone
Adresse de messagerie

 

 

4-Comment informer nos clients sur le RGPD et être en règle ?

Sur votre site internet

Déjà avant le RGPD, il était nécessaire d’informer les clients que nous traitions des données personnelles et qu’ils pouvaient en demander la rectification à tout moment.

A l’heure des demandes de consultation en ligne, demande de devis en ligne et de rendez-vous, il convient encore plus de respecter cette obligation.

J’ai pour ma part indiqué sur mon site avant l’entrée en vigueur du RGPD après chaque formulaire de contact la formule suivante:

Les informations recueillies font l’objet d’un traitement informatique destiné à la prise de rendez-vous. Le destinataire de données est Me Michèle BAUER. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à Me Michèle BAUER, 33 Cours Pasteur, 33 000 BORDEAUX. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Je vais modifier ce paragraphe avant le 25 mai, il sera le suivant:

Les informations recueillies font l’objet d’un traitement informatique destiné à la prise de rendez-vous ou à l’établissement d’un devis. Le destinataire des données est Me Michèle BAUER, Avocate, inscrite auprès du Barreau de Bordeaux depuis le 7 janvier 2003 exerçant 33, Cours Pasteur, 33 000 BORDEAUX, téléphone: 05 47 74 51 50- télécopie: 05 47 74 51 51, mail: merci d’utiliser la page contact.

Conformément aux articles 13 et 14 du règlement (UE) général sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et l’article 32 de la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, le directeur de publication de ce site vous informe:

  • le responsable du fichier est Me Michèle BAUER dont les coordonnées sont précisées ci-dessus. La finalité du traitement de ces données est la prise de rendez-vous et/ou l’établissement d’un devis.
  • Le destinataire est l’avocat qui est le directeur de publication de ce site, soit Me Michèle BAUER.
  • Ces données seront conservées pour une demande de devis le temps d’établissement de ce devis si aucune suite n’est donnée soit 15 jours maximum, si une suite est donnée et que le dossier est confié à l’avocat, les données seront conservées durant 5 ans à compter du dernier acte juridique.
  • Pour la prise de rendez-vous, les données seront conservées 5 ans à compter de la date de consultation (ceci si un rendez-vous est fixé et si une consultation est délivrée). Dans l’hypothèse où la personne concernée n’honore pas son rendez-vous, les données seront effacées le jour suivant du rendez-vous non honoré.
  • Vous bénéficiez d’un droit d’accès, de rectification ou d’effacement de vos données personnelles que vous pouvez demander au responsable du traitement soit à Maître Michèle BAUER.
  • Vous bénéficiez du droit de demander une limitation du traitement de vos données personnelles.
  • Vous bénéficiez du droit de vous opposer au traitement de vos données personnelles et du droit à la portabilité de vos données.
  • Vous pouvez retirer votre consentement au traitement de vos données personnelles et ceci à tout moment en écrivant au responsable du traitement soit à Maître Michèle BAUER.
  • Vous pouvez introduire une réclamation auprès de la CNIL si vous estimez que la protection de vos données personnelles n’a pas été assurée par le responsable du traitement.

Il faudra également prouver que l’internaute a donné son consentement au traitement de ses données personnelles. Pour cela, il convient de modifier vos formulaires de contact si vous utilisez WordPress comme moi, je vous invite à lire l’article: Comment appliquer le RGPD à WordPress ?

De même qu’ il faut informer les internautes de la présence de cookies.

Si vous utilisez une extension (type Google Analytic par exemple) pour connaître les visites sur votre site, ce dernier utilise les cookies. Un plugin existe sur WordPress afin de mettre en place un bandeau informant de la présence de cookies sur votre site et renvoyant vers une page qui explique la politique relative aux cookies. L’extension à télécharger est Cookies Notice, j’ai rédigé pour ma part une page expliquant la politique relative aux cookies: ICI.

Pour finir, attention si vous ne traitez pas les données personnelles « personnellement » (désolée pour la répétition), que c’est un sous-traitant qui s’en charge, il conviendra que ce dernier respecte le RGPD (voir la fiche du CNB n°4). Un sous-traitant pourra être une plateforme de consultation sur laquelle vous êtes inscrit. Il faudra conclure un contrat avec ce sous-traitant et encadrer le traitement des données personnelles.

Dans votre convention d’honoraires ou par mail accompagnant une note d’honoraires.

  • Dans la convention d’honoraires.

Vous pouvez dans la convention d’honoraires ajouter un article « Traitement des données personnelles » et préciser:

Les informations recueillies  durant le traitement de votre affaire font l’objet d’un traitement informatique destiné au suivi de votre dossier: consultation, rédaction d’actes juridiques, plaidoiries. Le destinataire des données est Me Michèle BAUER, Avocate, inscrite auprès du Barreau de Bordeaux depuis le 7 janvier 2003 exerçant 33, Cours Pasteur, 33 000 BORDEAUX, téléphone: 05 47 74 51 50- télécopie: 05 47 74 51 51, mail: à préciser

Conformément aux articles 13 et 14 du règlement (UE) général sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et l’article 32 de la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004,  vous êtes informé que:

  • le responsable du fichier est Me Michèle BAUER dont les coordonnées sont précisées ci-dessus. La finalité du traitement de ces données est le suivi du dossier que vous m’avez confié conformément au mandat donné et détaillé dans la présente convention d’honoraires.
  • Le destinataire est l’avocat qui traite votre dossier soit Michèle BAUER. Le destinataire pourra être un Confrère, avocat correspondant ou postulant si son intervention est nécessaire.
  • Ces données seront conservées durant 5 ans à compter du dernier acte juridique de votre dossier.
  • Vous bénéficiez d’un droit d’accès, de rectification ou d’effacement de vos données personnelles que vous pouvez me demander par courriel ou courrier postal.
  • Vous bénéficiez du droit de demander une limitation du traitement de vos données personnelles.
  • Vous bénéficiez du droit de vous opposer au traitement de vos données personnelles et du droit à la portabilité de vos données.
  • Vous pouvez retirer votre consentement au traitement de vos données personnelles et ceci à tout moment m’écrivant par courriel ou lettre postale.
  • Vous pouvez introduire une réclamation auprès de la CNIL ( site de la CNIL: www.cnil.fr) si vous estimez que la protection de vos données personnelles n’a pas été assurée dans le cadre du traitement de votre dossier.
  • Me Michèle BAUER tient un registre des activités de traitement des données personnelles dont vous pouvez demander la consultation si vous le souhaitez.

Information des clients par mail.

Vous pouvez reprendre le texte ci-dessus dans un mail par exemple lorsque vous avez délivré une consultation qui n’a pas fait l’objet de suite, en adressant la note d’honoraires à votre client, vous pouvez l’accompagner de cette information.

Pourquoi ne pas préciser ces informations sur la note d’honoraires directement ?

Le mieux est certainement de faire signer une convention d’honoraires même pour une simple consultation afin de se ménager une preuve de l’information du client, le mail n’est pas contresigné ni non plus la note d’honoraires de consultation.

5-La sécurisation du traitement des données personnelles.

Pour finir, il faudra bien sécuriser les données personnelles de vos clients: l’accès aux locaux doit être sécurisés, l’accès au dossiers des clients aussi: mots de passe pour accéder au logiciel de gestion.

Il faudra peut-être envisager de sécuriser vos mails en mettant en place un cryptage.

En conclusion, pour respecter le RGPD, il convient de mettre en place ces documents et surtout de modifier nos conventions d’honoraires.