Coordonnées personnelles ou bancaires dans les centres de contacts : des informations à haute valeur ajoutée
Dans les centres d’appels sont gérées de nombreuses données personnelles précieuses des clients : coordonnées bancaires, numéro de téléphone, adresse. Autant dire qu’en cas de fuites dans la nature, c’est la panique pour l’entreprise qui voit les informations sur ses clients dispersées, et son image forcément écornée. Retour sur quelques fraudes avérées de ces dernières années.
2008 : France
Cette fraude a fait parler d’elle, et pour cause ! La personne piratée n’était autre que Nicolas Sarkozy, le Président de la République de l’époque. Etonné par un retrait de 170 euros sur son compte à la Société Générale dont il ne comprend pas l’origine, Nicolas Sarkozy porte plainte. L’enquête démontre que la fuite provient d’un téléconseiller de Teleperformance, l’un des leaders mondiaux des centres d’appels, qui assurait à l’époque la relation client pour Canal Plus, auprès de laquelle Nicolas Sarkozy avait souscrit un abonnement. L’employé récupérait des fichiers comprenant les coordonnées bancaires des abonnés, qu’il transmettait ensuite à ses complices, qui les utilisaient ensuite pour ouvrir des abonnements téléphoniques. Une arnaque qui aurait permis de détourner entre 30 000 et 50 000 euros. Bacar Nboh, le téléconseiller indélicat, a été arrêté et condamné. Canal Plus a dénoncé à l’époque le contrat qui la liait à l’entreprise Teleperformance.
2015 : Mexique, Colombie
25 millions de dollars. C’est la somme qu’a dû verser AT&T, une entreprise américaine, après sa condamnation par la justice pour n’avoir pas garanti la sécurisation des données de ses clients. Pour gérer sa relation clients, l’opérateur mobile travaillait lui aussi avec Teleperformance et l’un de ses centres d’appels, basé au Mexique. Une intrusion dans les systèmes informatiques a conduit à la divulgation des données de 280 000 clients, permettant grâce à leur utilisation de déverrouiller des portables volés avant de les revendre.
2016 : Inde
100 000 euros par jour ! C’est ce qu’auraient réussi à récupérer en moyenne des dizaines d’employés d’au moins neuf centres d’appels depuis un an. Une quinzaine d’autres pourrait être impliquée. Des complices résideraient aux Etats-Unis. La technique était bien rodée : les employés du centre d’appels appelaient leurs victimes aux Etats-Unis en se faisant passer pour des agents de l’IRS, le fisc américain. Ils leur faisaient croire que s’ils ne payaient pas une amende, pour des impôts non réglés, ils recevraient rapidement la visite de la police. 6500 Américains auraient été victimes de cette fraude : ils auraient réussi à détourner plus de 30 millions de dollars au total. D’après l’enquête, aussi importante que soit cette fraude, la plupart des employés des centres d’appels auraient été dupés et n’auraient dont pas volontairement fourni les données des clients.
2017 : Sénégal
Plusieurs centres d’appels sénégalais, dont PCCI, l’un des plus gros employeurs du pays, ont été pris dans un énorme scandale après l’arrestation de 26 personnes travaillant dans différents centres d’appels et soupçonnées de fraudes pour avoir utilisé des données personnelles récupérées dans ses centres d’appels.
Entre 2014 et 2018
Au Maroc, de nombreux prestataires de centres d’appels ont été concernés par des pratiques qu’ils sont parvenus ensuite à mettre à jour et faire cesser et délictuelles : des escrocs proposaient à des téléconseillers travaillant chez les gros prestataires de la place de s’emparer de données sur les clients, dans l’exercice de leur travail et de les leur céder contre rémunération. Un marché gris de la revente de données a perduré ainsi pendant quelques années, que l’intervention groupée des prestataires et du syndicat marocain des prestataires a permis d’éteindre.
En 2018 et 2019
En Afrique subsaharienne, en raison d’une faille dans les systèmes informatiques d’un client donneur d’ordre qui externalise dans cette zone, des téléconseillers parvenaient à rentrer, à distance dans les systèmes d’information du client et à s’emparer des données personnelles : RIB, adresse, etc. Une enquête de la police scientifique locale a permis d’arrêter l’agent au terme de deux ans d’investigations
Comme l’indiquait et le relatait un article du Monde, les pays qui ont fait de la filière centres d’appels et BPO un axe de développement stratégique, tels l’Inde ou les Philippines, consacrent des moyens et des équipes dédiées à prévenir ou résoudre ces cas, médiatiquement très négatifs. Postuler dans un centre d’appels à Manille nécessite de disposer d’un casier judiciaire vierge, à remettre dès les premiers entretiens. Les responsables sécurité des données des grands outsourcers sont parfois des anciens policiers, doublés de scientifiques aguerris dans leur spécialité. Dans 70 % des cas, c’est une négligence interne qui est la cause de la perte ou du vol de données. Un très grand acteur mondial du secteur, qui avait installé un centre de contacts à proximité d’une prison aux USA l’a fermé. Négligent dans ses procédures de recrutement ou peut-être dupé par de faux documents fournis lors des embauches, son taux de fraude et d’incidents avait considérablement augmenté dans l’année suivant l’installation de ce centre de contacts.
Des sociétés se sont spécialisées parallèlement dans la détection des fraudes telles Pindrop ou d’autres qui analysent en temps réel les conversations pour détecter des signes de fraude.
Qui est responsable en cas de fuites : le client ou le centre d’appels ? Qu’est-ce que PCI DSS ?
C’est le client final, l’entreprise ou la marque qui confie à un tiers la gestion de sa relation client. C’est à lui de s’assurer que le prestataire propose les garanties nécessaires à la sécurité des données de ses clients. En France, selon les normes juridiques, le contrat doit rappeler que la clientèle est et restera la propriété du client. Le prestataire ne peut pas démarcher en son nom, ni céder ou transférer tout ou partie des informations des clients tant pendant la durée du contrat qu’après. La norme PCI DSS, qui règlemente la gestion des données bancaires, impose un certain nombre de procédures dans les centres de contacts qui sont amenés à prendre des paiements par téléphone.
Par la rédaction d’En-Contact
Retrouvez tous les Spotlight de la rédaction d’En-Contact, ici.
Photo de Une : A Madagascar, la plateforme téléphonique de SFR, sécurisée et gardée comme de nombreux centres d’appels – © Edouard Jacquinet