pourquoi le démarchage frauduleux ne s’arrête jamais

« Votre solde CPF a expiré. Veuillez remplir le formulaire. Depuis 2020, ce genre de SMS frauduleux inonde les smartphones. L’objectif du message est, le plus souvent, d’inciter les victimes à dépenser l’argent de leur Compte Personnel de Formation (CPF) en formations fantômes. Afin de les précipiter dans le piège, les malfaiteurs prétendent que l’argent acquis va disparaître ou leur font miroiter un gain (une somme d’argent, une tablette…) en plus de la formation.

Non seulement ces arnaques entraînent des millions d’euros de fraude, mais elles nuisent également à l’image de l’appareil. Le spam incessant, qui se retrouve également dans les appels téléphoniques, et dans une moindre mesure dans les e-mails, conduit, dans l’imaginaire collectif, à une association directe entre escroquerie et PCF.

L’épidémie de Covid à l’origine de la vague d’arnaques

Pour la Caisse des dépôts et consignations (CDC), responsable du dispositif pour le compte du Ministère du Travail, de l’Emploi et de l’Intégration, le spam présente donc un risque de réputation, en plus d’être un casse-tête financier. ” Si l’ensemble de l’écosystème ne parvient pas à arrêter la fraude, cela risque de saper la crédibilité du système à long terme. », reconnaît avec Le Tribun Laurent Durain, directeur de la formation professionnelle et des compétences, service des politiques sociales de la CDC.

Lancé en 2015 pour remplacer le droit individuel à la formation (DIF), le CPF est financé chaque année par la Caisse des dépôts, en fonction des heures travaillées par le bénéficiaire. Cette cagnotte, créée automatiquement, peut ensuite être mobilisée par son titulaire pour s’offrir une formation. A l’époque, le gouvernement Valls, à l’origine du dispositif, voulait redonner le pouvoir de décision aux salariés pour gommer les tares du DIF, qui était géré par des entreprises, ce qui provoquait toutes sortes de difficultés.

Très peu mobilisé durant ses cinq premières années, le CPF commence à trouver son public en 2020 avec 984 000 formations suivies, soit deux fois plus que l’année précédente. Ce record est à nouveau dépassé en 2021 avec plus de deux millions de personnes inscrites en formation, emmenées par l’apprentissage du permis de conduire et des cours de langues. Cet élan soudain marque le lancement réussi du site et de l’application Mon Compte Formation fin 2019, qui a grandement amélioré l’accessibilité au dispositif, tant pour les utilisateurs que pour les organismes de formation. Il vous suffit de vous connecter au site, de créer votre compte, puis de faire une demande.

Le problème ? A peine quatre mois après ce lancement, en mars 2020, le confinement entre en vigueur. De ce fait, les organismes de formation qui dispensent leurs cours en présentiel ferment, ou externalisent les cours pour les maintenir à distance. Alors que les arnaques en ligne fleurissent un peu partout sur Internet, la Caisse des Dépôts voit apparaître sa première vague de fraudes, formations fantômes ou bâclées. Depuis lors, elle s’est efforcée de résoudre le problème, largement alimenté par les appels à froid.

Qui peut limiter les spams ?

Si les arnaques au CPF ont un tel succès, c’est notamment parce que les démarcheurs profitent d’un vide étonnant : personne n’a clairement la responsabilité de limiter les spams par SMS, à commencer par la Caisse des dépôts, dont l’identité est usurpée. « Le spam n’est pas du ressort de la Caisse des dépôts, qui est seule responsable de ce qui se passe à l’intérieur de la plateforme Mon compte formation. Il est important de clarifier ce point, car toutes les actions que nous menons contre le démarchage sont un plus par rapport à notre obligations insiste Laurent Durain.

Concrètement, l’organisme dispose d’un pouvoir d’autorité dans le cadre de ses conditions d’utilisation qui régissent la plateforme. Il peut déréférencer [bannir du site, ndlr] un organisme de formation frauduleux, bloquer les paiements en cours, voire demander le remboursement des sommes versées. En revanche, la CDC n’a aucune autorité en dehors de la plateforme, et ne peut donc intervenir ni sur Internet ni sur le réseau de téléphonie mobile, par lesquels transite le spam.

Faut-il alors se tourner vers les opérateurs téléphoniques ? « Pour limiter les spams SMS, nous n’avons pas de solution pour le moment », concède à Le Tribun Déborah Caderon, gérante d’Orange Téléphone. Cette application, gratuite, sans publicité et accessible à tous, permet de détecter les appels de démarchage abusifs. Pour cela, il mobilise à la fois un système de reporting collaboratif et un algorithme qui détecte les comportements anormaux (1 000 appels en une journée, appels qui durent une seule seconde…). Ses 900 000 utilisateurs reçoivent en moyenne 13 spams par mois en 2022, 2 de plus qu’en 2021 et 5 de plus qu’en 2020, notamment avec la croissance de l’arnaque CPF. Orange Telephone permet à ses utilisateurs de bloquer ou d’ignorer assez efficacement une majorité d’appels de porte à porte, mais il ne résout pas le problème du flot de SMS frauduleux.

Limiter le spam, c’est prendre un risque

« Pour gérer les SMS, il faudrait déployer une autre application, qui aurait la capacité de lire les messages. Mais les utilisateurs devraient accepter de les lire. », résume Déborah Caderon. Elle pointe ici le principal problème de la lutte contre les spams SMS : le moyen le plus simple de les détecter est d’analyser le contenu des messages, ce qui conduit à une entrée dans la vie privée des utilisateurs, très réglementée par la loi. Face à ce casse-tête juridique et pratique, sans intérêt financier ni obligation légale, les opérateurs restent pour l’instant prudents, malgré la demande des utilisateurs. ” Nous y réfléchissons, mais une telle application a un coût difficilement justifiable à l’heure actuelle. », ajoute Déborah Caderon.

S’ils ne peuvent pas intervenir en bout de chaîne à la réception du message, les opérateurs pourraient potentiellement intervenir à la source du problème, en bloquant les numéros qui envoient le spam. Mais là encore ce n’est pas simple. ” Le client n’a pas à justifier pourquoi il achète un numéro, et nous ne pouvons donc pas empêcher les spammeurs de prendre des numéros », se souvient le patron d’Orange Téléphone.

De son côté, Bouygues Telecom rappelle que les numéros affichés par les spammeurs font souvent l’objet de spoofing, c’est-à-dire qu’ils camouflent leur vrai numéro avec un autre, en l’imitant. ” Nos les moyens d’action restent excessivement limités : si on blackliste le numéro, c’est-à-dire qu’on l’empêche de transiter par nos réseaux, c’est l’utilisateur légal de ce numéro en cas d’usurpation, un abonné lambda, qui serait privé de ses services téléphoniques lorsqu’il n’est pas à l’origine de cette pratique », précise l’opérateur. Pour ne rien arranger, certains appels proviennent de numéros affiliés à des opérateurs étrangers, difficiles à mobiliser sur les sujets français.

Contactée par La Tribune, l’Arcep – le gendarme des télécoms – précise que la régulation des spams n’est pas dans ses prérogatives. Il rappelle simplement l’existence de 33700, une plateforme de signalement de spams fondée par Bouygues Telecom, Orange et SFR en 2008, suite à une demande des pouvoirs publics. Mais si ce service permet d’identifier les numéros frauduleux, il permet seulement de limiter à la marge le volume de spams.

Des sanctions contre les démarcheurs, mais a posteriori

Si ni la CDC ni les opérateurs ne peuvent intervenir, il ne reste que les autorités. Mais là encore, ils disposent de peu d’outils pour limiter le démarchage, car cela reviendrait à intervenir avant que l’infraction ne soit commise. ” Recevoir un SMS ne peut être que le début d’une tentative d’arnaque ”, pèse lourd avec Le Tribun Thierry Pezennec, ancien chef du Sirasco (service d’information, de renseignement et d’analyse stratégique sur la criminalité organisée), un service de la police judiciaire. “La police n’intervient qu’à la suite d’une plainte à Tracfin [le service de renseignement chargé de la lutte contre la fraude fiscale et le blanchiment d’argent, ndlr] ou dans un petit nombre de cas, suite à une forte suspicion »il ajoute.

Même son de cloche du côté de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), contactée par Le Tribun. S’il mène certaines actions en amont, il intervient surtout après l’identification du fraudeur. Depuis un an cependant, elle a inscrit la question des arnaques au CPF dans son plan national d’enquête dont l’objectif est de protéger les consommateurs des pratiques commerciales trompeuses.

Mais la marge d’action des autorités est d’autant plus limitée que le démantèlement des réseaux d’escroquerie n’est pas toujours aisé. ” Il faut trouver les auteurs des messages, ceux qui les envoient, les responsables du blanchiment d’argent… La fraude étant lointaine, les escrocs sont souvent à l’étranger, et ils utilisent plusieurs techniques pour brouiller les pistes. », résume Thierry Pezennec. Mais l’enjeu est tel qu’il justifie les moyens : les montants de la fraude, pris individuellement, ne sont pas significatifs. Mais cumulé, on parle de plusieurs dizaines de millions d’euros de dommages et intérêts. »

Arrêtez le démarchage à la source

Malgré le constat d’impuissance face au démarchage, il existe encore des moyens de se battre indirectement. La première consiste à tarir le phénomène à sa source, en empêchant les arnaques d’aboutir et en sanctionnant ceux qui les pilotent. En d’autres termes, réduisez la tentation de frauder en augmentant les risques et en diminuant les récompenses potentielles.

En ce sens, chaque mois, un comité de pilotage de la lutte contre la fraude au CPF réunit des représentants de la Caisse des Dépôts, du ministère du Travail, de la Justice, de la police et de la DGCCRF. ” Fini le sentiment d’impunité », tonne Laurent Durain du CDC. L’objectif : partager expertise et informations pour attraper les arnaqueurs. Cette coalition préfère rester discrète pour éviter de donner une chance aux fraudeurs de s’échapper, mais les premiers résultats apparaissent dans la sphère publique.

En juin, Le monde a relaté le procès d’un escroc devant le tribunal de Saint-Omer (Pas-de-Calais). L’accusée avait attiré l’attention des autorités après s’être versée 300 000 euros de dividendes en 2 ans, via sa société Happy Form. Elle a vendu pour plusieurs milliers d’euros des formations aux logiciels bureautiques aux bénéficiaires du CPF. En échange, les apprenants recevaient une simple clé USB (à 6,90 euros) contenant un kit de formation, lui-même acheté 193 euros à une société spécialisée… Le procureur a requis une amende de 300 000 euros (c’est-à-dire la restitution de les sommes perçues) et trente mois de prison, dont six fermes contre l’escroc.

Dans le même temps, la CDC a fortement durci les conditions d’entrée sur sa plateforme des organismes de formation, grâce à un nouveau prérequis imposé par les pouvoirs publics depuis le 1er janvier : le certificat Qualiopi. Délivré à la suite d’un audit, il garantit le sérieux du contenu d’apprentissage. Le 1er avril, la CDC a exclu de sa plateforme 2 278 organismes de formation qui ne l’avaient pas obtenue.

La prévention, le meilleur des remparts

L’autre moyen de combat, sur lequel tout le monde s’accorde, c’est la prévention. Autrement dit, donner des armes aux victimes pour qu’elles puissent se protéger. S’ils ne tombent pas dans le piège, les escrocs ne gagneront pas d’argent et finiront par dériver vers d’autres sujets. ” Les utilisateurs doivent comprendre que s’ils sont appelés à propos du CPF, ils doivent raccrocher », se souvient Laurent Durain. Pour insister sur le sujet, le CDC a lancé début juillet une nouvelle campagne de prévention.

De son côté, la Task Force contre les arnaques – qui regroupe neuf directions de 5 ministères, dont la DGCCRF et la DCPJ, mais aussi l’AMF, l’Anssi et la Cnil – a publié la 3e édition le même mois. de son guide de prévention, et consacre pour la première fois une fiche entière aux arnaques au CPF.

Mais si la CDC met l’accent sur le rôle des utilisateurs dans la lutte contre la fraude, elle ne veut pas alourdir les victimes en cas d’erreur. ” Nous avons un formulaire de signalement. S’il est rempli honnêtement, nous recréditerons les droits. L’objectif est que les utilisateurs ne soient pas lésés par le démarchage qui les a piégés », rassure Laurent Durain.