Le CPF, source perpétuelle d’hameçonnages et pratiques frauduleuses

Publié par le dans , , | Consulté 162 Fois

********

Dans le cadre d’un partenariat, cet article a également été publié sur le site internet du média Les Surligneurs.

********

Le Compte Personnel de Formation (CPF) est un service créé le 1er janvier 2015 et financé par le ministère du Travail permettant « à toute personne active, dès son entrée sur le marché du travail et jusqu’à la date à laquelle elle fait valoir l’ensemble de ses droits à la retraite, d’acquérir des droits à la formation »[1] dans la limite d’un plafond de 5 000 euros.
Cela permet donc à toute personne de cumuler des droits lui permettant d’avoir accès à une formation et ainsi contribuer à l’employabilité et l’insertion voire la réinsertion professionnelle.

En revanche, un tel droit n’est reconnu que sous certaines conditions :
– Il ne s’adresse qu’aux personnes âgées de 16 ans minimum à l’exception des jeunes de 15 ans bénéficiaires d’un contrat d’apprentissage ;
– Il ne vaut que pour le cours de la vie professionnelle, de l’entrée sur le marché du travail à la retraite et à partir de 65 ans, le CPF est automatiquement fermé avec une possibilité de réouverture en cas de poursuite d’une activité salariale.

Selon des indications communiquées par le site du service public, plus de 2 millions d’individus se sont inscrits à une formation en 2021, face à 630 000 en 2019. Mais « son succès et la monétisation des crédits disponibles ont généré du démarchage abusif et des escroqueries »[2].

https://dares.travail-emploi.gouv.fr/publication/le-compte-personnel-de-formation-en-2020

En effet, d’après un rapport édicté par TRACFIN, organisme rattaché au ministère de l’Économie et des Finances chargé notamment de la lutte contre la fraude fiscale, sociale et douanière, le montant des fraudes au CPF serait passé de 7,8 millions d’euros en 2020 à 43,2 millions d’euros en 2021.

Depuis quelques années, les comptes CPF font effectivement l’objet de nombreuses attaques de phishing consistant à inciter le titulaire du compte à fournir, suite à une offre d’utilisation des crédits de son CPF, ses données personnelles telles que le numéro de sécurité sociale, des informations sur son état civil, ou encore les identifiants et mots de passe…
Du point de vue légal, l’hameçonnage, ou phishing, est un système qui, via des virus dotés de fonctionnalité de machines, permet d’usurper l’identité numérique par un envoi massif de messages piégés. Ainsi, l’optique est d’envoyer les victimes vers des sites corrompus et de dérober les identifiants ou d’autres données personnelles.

En raison du trop grand nombre d’usurpations d’identité, la sécurité du dispositif a été renforcée grâce à la mise en place de FranceConnect, un service d’identification issu de la Direction interministérielle du numérique, permettant de sécuriser la connexion aux services en ligne et ainsi limiter les risques d’usurpation. Mais la fraude est aussi perpétrée au travers de l’inscription à des formations fictives ou encore l’incitation à l’inscription par le biais d’offres de cadeaux, de parrainage…

En effet, la fraude au CPF répond à une logique méthodique :
– Les fraudeurs se prétendent être des organismes publics officiels tels que Pôle emploi ou encore le ministère du Travail ;
– Par un démarchage commercial abusif via des messages et/ou appels incessants, ils incitent les utilisateurs à s’inscrire à une fausse formation afin de récupérer les droits cumulés sur le CPF et les données personnelles rattachées à ce compte. 
Ce sont des techniques pleinement frauduleuses d’autant plus qu’aucun professionnel ne peut réclamer la communication de telles informations à l’exception des organismes autorisés par la loi.

Cette année, la première condamnation pour fraude au CPF a été prononcée le 20 septembre 2022 par le tribunal correctionnel de Saint-Omer dans le Pas-de-Calais.

La société SASU Happy Form créée en 2019 et spécialisée dans la formation en informatique a été accusée et jugée pour avoir proposé de multiples fausses formations à plus de 1500 personnes sous couvert du CPF. L’entreprise a perçu plus de trois millions d’euros entre 2020 et 2021 en ayant proposé des formations à distance sur les logiciels de bureautique par le biais d’une clé USB contenant cours et exercices. Cette formation factice a été facturée à presque 2000 euros à la Caisse des dépôts et consignations (CDC), chargée de la mise en œuvre du service CPF pour le compte de l’État.

Ainsi, la société, en tant que personne morale, a été condamnée à verser trois millions d’euros d’indemnisation à la CDC, dont 330 0000 euros solidairement avec la dirigeante de la SASU.
Cependant, cette dernière a tiré en plus un gain personnel de cette fraude évalué à 300 000 euros et a donc été condamnée pénalement par le tribunal correctionnel de Saint-Omer à trois ans de prison avec sursis et une interdiction de gérer une société pendant dix ans ainsi qu’une interdiction d’exercer toute activité de formation pendant cinq ans.

A la suite de cette condamnation, le Ministre du Travail, Olivier Dussopt, a déclaré que « C’est un signal fort qui est adressé à leurs dirigeants et un encouragement pour la politique que mène le Gouvernement à l’égard du CPF : le renfort des contrôles en amont de l’inscription sur la plateforme est par ailleurs en cours par un travail collaboratif avec les parlementaires […] ».

Une proposition de loi faisant écho à la montée en puissance du nombre de fraudes au CPF

Le 6 octobre 2022, l’Assemblée nationale a adopté, en première lecture, une proposition de loi datant d’août 2022 « visant à lutter contre les abus et les fraudes au compte personnel de formation ».
En effet, le Député Arthur Delaporte, cite, dans un discours devant l’Assemblée nationale, quelques noms d’influenceurs qui ont fait la promotion de fausses formations par le biais CPF prétendument gratuites et agréées par l’État.

La proposition de loi tend à ce que toute prospection commerciale des titulaires d’un CPF par téléphone ou courrier électronique soit proscrite et devienne illégale ainsi que l’interdiction « de la captation de données personnelles »[3]. L’amende proposée irait jusqu’à 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.

Après avoir été adoptée à l’unanimité par l’Assemblée Nationale, la proposition entrerait en vigueur début 2023 si celle-ci est adoptée définitivement au Sénat.

Un certain devoir reposant sur la responsabilité de l’utilisateur

Malgré ces récentes évolutions, l’utilisateur se doit de respecter un devoir de méfiance quant à ces fraudes afin de mobiliser tous les moyens qu’il possède pour protéger ses données personnelles.
En effet, l’article L.133-16 du Code monétaire et financier rappelle que « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données […] ».

Ainsi, l’utilisateur victime de ce type de fraude se doit de ne pas être négligent et certaines obligations de prévention lui incombent. A ce titre, la Chambre commerciale de la Cour de cassation, dans un arrêt du 28 mars 2018, a considéré que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage »[4].

Par conséquent, l’utilisateur ne doit pas être naïf et doit se montrer méfiant, une obligation de surveillance minimale lui incombant en considérant cependant que « n’est pas constitutive d’une négligence grave le fait pour un client “normalement” attentif de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus »[5]. Ainsi, une marge de tolérance lui est tout de même accordée tant qu’il n’a pas failli de manière irraisonnable à son obligation de surveillance.

Cependant, plusieurs solutions sont proposées par le Gouvernement aux victimes d’une fraude au CPF :
– Changer en premier lieu les mots de passe d’accès au CPF ;
– Contacter la plateforme Info escroquerie du ministère de l’Intérieur, constituée de policiers et gendarmes et dédiée à l’information et au conseil des victimes d’escroquerie ;
– Signaler les SPAM vocaux au 33700.fr et les SPAM par messagerie à signal-spam.fr ;
– Déposer plainte.

De plus, un formulaire de signalement d’escroquerie au CPF est également accessible via le site www.internet-signalement.gouv.fr ouvrant aussi accès à la plateforme PHAROS, outil créé par le Gouvernement le 16 juin 2009 dédié à l’harmonisation, l’analyse, le recoupement et l’orientation des signalements. Globalement, la plateforme permet à l’utilisateur de signaler des contenus et comportements illicites sur Internet.

Sources :
– Jcp S (édition sociale),« Les fraudes au CPF en forte augmentation en 2021 », La semaine juridique entreprise et affaires n°31-35, 1er août 2022, 699.
– Pierre Le Cohu, « Le compte personnel de formation », Gaz. Pal. 13 janv. 2015, n° 207×4, p. 4.
https://www.moncompteformation.gouv.fr/espace-public/
https://dares.travail-emploi.gouv.fr/
https://www.cnil.fr/

[1] https://travail-emploi.gouv.fr/formation-professionnelle/

[2] https://www.service-public.fr/particuliers/actualites/

[3] Bruno Fuchs, député 6ème circonscription du Haut-Rhin

[4] Cass.com, 28 mars 2018, 16-20.018

[5] Idem