C’est un compte Twitter qui ne sera pas resté longtemps sous le radar. Son nom d’utilisateur ? « Mon compte formation » (en trois mots). Son lien ? @ Le_CPF. Sa bannière ? Le logo officiel de l’application Moncompteformation. Sa photo de profil ? L’une des photos officielles de la campagne de communication lancée fin 2019 par le ministère du Travail. Son site de référence ? Le portail officiel moncompteformation.gouv.fr géré par la Caisse des dépôts et consignations (CDC). Bref, ça ressemble à de l’officiel, mais ça n’a rien d’officiel. Dans la description du profil, ce compte se définit comme un organisme de formation. Mieux : un numéro de téléphone figure dans le profil. À l’autre bout du fil, on se présente comme Formezvous.info, un prestataire proposant des formations linguistiques ou bureautiques : « On fait un peu de tout : de l’italien, de l’anglais, des formations à Outlook ou à Photoshop… ». Et lorsque l’on demande quel rapport l’entité entretient avec le ministère du Travail ou la CDC au vu du nombre de logos copyrightés et certifiés, présents sur le compte Twitter, on s’entend répondre : « Non, aucun lien. D’ailleurs, on le précise dans notre descriptif pour qu’il n’y ait pas de confusion ». Sauf que l’on a beau la chercher, la mention en question n’apparaît nulle part… et certainement pas sur le site Formezvous.info qui affiche un autre numéro de téléphone que celui du profil Twitter. Lorsqu’il décroche, Mickaël Louzoun, gérant associé de Formezvous tombe des nues. « Nous n’avons jamais eu de compte Twitter ! Je ne sais pas qui sont ces gens. Peut-être ont-ils choisi de se faire passer pour nous parce que nous sommes bien référencés sur Google ? » Le soir même, le site de l’organisme affichait un pop-up d’avertissement en première page et annonçait avoir déposé plainte contre l’usurpateur.

Quelle était la nature exacte de l’arnaque ? Difficile à dire. Aujourd’hui, le compte Twitter incriminé a vu son accès restreint sur requête de la CDC et depuis, le numéro associé sonne dans le vide. Mickaël Louzoun a deux hypothèses sur l’origine de ses malheurs : « Soit la société derrière le compte est une coquille vide qui alpague des clients en se donnant un air respectable et bifurque la commande au dernier moment vers un autre organisme de formation, soit c’est une tentative d’attirer des gens qui n’ont pas encore créé leur CPF vers ce numéro de téléphone pour récupérer leur numéro de Sécurité sociale… » « C’est l’une des fraudes au CPF les plus fréquentes », confirme Arnaud Portanelli, codirigeant de l’organisme de formations en langues Lingueo et administrateur de la Fédération de la formation professionnelle (FFP) qui traque les arnaques au CPF depuis sa monétisation. Le faux compte Twitter @Le_CPF était certes une manœuvre grossière et vite repérée, mais d’autres sont plus subtiles. « Certains organismes font appel à des sociétés tierces qui officient comme “apporteuses d’affaires” – souvent des call centers situés en France ou à l’étranger qui prennent 10 % à 20 % sur chaque transaction menée à son terme. Concrètement, leurs méthodes consistent à appeler un maximum de prospects au téléphone pour les convaincre d’investir leur CPF dans une formation au catalogue de leur client », explique-t-il. Une pratique qui n’a néanmoins rien d’illégal. « L’apport d’affaires n’est pas illicite en soi. D’ailleurs, son usage a fortement augmenté ces trois dernières semaines. Les organismes de formation ont parfaitement le droit de faire du marketing direct. Ce qui tombe sous le coup de la loi, en revanche, c’est de se faire passer pour ce que l’on n’est pas », précise Laurent Durain, directeur de la formation professionnelle au sein de la Caisse des dépôts. Du moins tant que l’intervention du prospecteur reste cadrée…

Mais parfois, les pratiques des téléconseillers sortent nettement des clous : « Ils peuvent prétendre que le CPF de la personne appelée a été piraté et leur proposer d’en recréer un autre en demandant le numéro de Sécurité sociale, affirmer que le montant du compte doit être dépensé avant une date limite et les engager sur des formations de leurs clients, se faire passer pour la CDC ou le ministère du Travail… », résume le patron de Lingueo. Parfois, difficile de voir autre chose que de l’escroquerie dans les méthodes de certains téléconseillers ou vendeurs en direct. « L’escroc qui a soutiré le numéro de Sécurité sociale peut tout faire. Il peut inventer une pseudo-formation e-learning, faire une demande de référencement à la CDC, y inscrire les comptes créés via le numéro de Sécurité sociale des escroqués, indiquer que les formations ont bien été réalisées… et se faire payer », détaille Arnaud Portanelli. L’opération peut rapporter, car « la CDC verse un acompte de 25 % dès l’entrée en formation », rappelle Mickaël Louzoun. Et certaines formations comme celles à la création d’entreprise ou la remise à niveau en langues, qui ne donnent pas lieu à une certification finale, sont particulièrement propices à ces arnaques.

Côté CDC, on surveille les mouvements étranges comme le lait sur le feu… mais on ne s’en vante pas trop. « Cette gestion nécessite de la discrétion », explique Laurent Durain. Pour éviter les escroqueries et autres problèmes, la Caisse est connectée en permanence avec d’autres services d’autorité publique (Tracfin, DGCCRF, brigade de répression de la délinquance astucieuse, services régionaux de contrôle de la formation professionnelle ou de la DGEFP…) et entretient son système d’alerte. À quoi s’ajoutent les nombreux avertissements contre la communication de ses identifiants au compte à de tierces personnes affichées sur le site du CPF et sur l’application associée. De facto, les vraies escroqueries sont plutôt rares. Seuls cinq organismes douteux (sur 15 000 environ) ont, jusqu’à présent, fait l’objet d’un dépôt de plainte auprès du Parquet. « Pour le reste, il s’agit souvent d’une incompréhension des règles légales ou d’un défaut d’habilitation aux formations menant à certaines certifications copyrightées comme le TOEIC. Généralement, l’organisme prévenu à ce titre se remet très vite en conformité », souligne Laurent Durain.

Si le contenu des formations est scruté, le volume d’affaires des organismes l’est tout autant afin de repérer certains mouvements suspects. Un prestataire à faible activité augmentant sensiblement celle-ci en un court laps de temps risque de devoir s’en expliquer auprès des autorités de la Caisse des dépôts. Un niveau supplémentaire de sécurité doit d’ailleurs être ajouté au CPF d’ici décembre au-delà des seuls identifiants et numéro de Sécurité sociale. De quoi peut-être refermer la brèche dans laquelle quelques organismes peu fiables s’étaient infiltrés. « De toute façon, ils se font toujours attraper », conclut Arnaud Portanelli.