Les centres de contact sont devenus de véritables entrepôts de données… et fort mal protégés

[Manuel JACQUINET et Charles-Henri FONDRAS – En-Contact – 15/06/2009]
En quelques années, de nombreux détournements de données confidentielles ou utilisations malencontreuses sont intervenus dans les centres d’appels, quelle que soit leur localisation. Désormais utilisés par tous les acteurs de la vie économique, pour payer un abonnement, une facture, faire appel à un technicien, ou pour souscrire tel ou tel service, les centres de contacts sont de véritables « entrepôts » de données sur la vie privée des citoyens et des consommateurs. Payer sa facture d’eau, de gaz, d’électricité, de téléphone par prélèvement bancaire est devenu une figure imposée. Commander une nouvelle carte de crédit, un billet SNCF, un passe Navigo ou déclarer des violences conjugales ? Autant de tâches et d’actes quotidiens  désormais pris en charge par les quelques 250 000 téléconseillers, télévendeurs, chargés de  clientèle qui travaillent désormais dans ces 2 400 centres de contacts français répartis sur le territoire.

Mais pour résoudre les problèmes de facturation ou fidéliser les clients, encore faut-il avoir accès à ces fameux fichiers clients et les enrichir lors de chaque contact, qu’il ait été établi par mail, par téléphone, ou par courrier. Vous êtes Madame X, demeurant Avenue Salavdor Allende à Ivry ou Monsieur Y.B., résidant Villa Montmorency Paris XVIe vous avez envoyé un e-mail le 4 Mars à 12h32 pour réclamer la livraison d’un colis en souffrance, puis rappelé le 9 Mars à 16h02 pour cette même affaire ? On se souvient de vous sur les plateaux téléphoniques et les programmes de CRM (gestion de la relation client des sociétés) aident le téléconseiller à affiner son discours, son comportement, et proposer la bonne solution. Or ces données doivent rester accessibles pour permettre un suivi de la relation client ou un contact personnalisé. On rêve tous d’être identifiés dès le début de la conversation. « Bonjour M. Y.B., votre appel concerne je suppose, la relivraison du colis ? Notre coursier  est en route, et devrait être chez vous à 16h30; laissez moi vérifier votre digicode… » Le problème, c’est que de temps à autre, un téléconseiller ou un salarié malintentionné ou négligent peut récupérer ces données et en faire un usage peu conforme aux objectifs initiaux.

En Inde, où sont délocalisés de nombreux centre d’appels anglophones, de telles fraudes sont intervenues en 2006 et 2007, qui avaient permis des détournements de sommes significatives. Les médias s’étaient emparés du cas pour fustiger l’ « offshorisation » intensive des centres d’appels, forcément responsables selon eux de ces pratiques. Mais, mauvaise pioche, l’incident qui nous occupe intervient chez le leader mondial des centres d’appels, une entreprise française, dans un centre d’appel français, et pour le compte d’un donneur d’ordres qu’on pourrait croire très vigilant sur l’accès à son fichier d’abonnés, cet actif qui fait la richesse de la chaîne.

De nombreux précédents
Une plainte déposée par le Président de la République a un mérite : elle est traitée rapidement et suscite quelques échos médiatiques. Mais d’autres Français ne voient pas leur affaire résolue si rapidement, ou donner lieu à une juste indemnisation, car c’est parfois leur vie privée qui est concernée ou bouleversée. Il y a plus de trois ans, après une conversation houleuse avec un téléconseiller de la société Orange -suite à des pannes non résolues ou à des questions de facturation, ces deux motifs représentant plus de 80% des appels ? -, un client de l’opérateur a reçu un SMS dont il se souvient encore : « ESPECE D ENCULE ON A TOUT SUR TOI ON VA KRAME TA MAISON ET VIOLE TA FEMME T MORT »
Ce type de menaces peut occasionner quelques nuits blanches lorsque vous réalisez qu’effectivement, votre adresse, le code de votre interphone, le nom de jeune fille de votre femme, sont disponibles chez votre fournisseur et que votre téléphone portable permet désormais de vous localiser facilement. En 2007, pour deux jeunes femmes c’est la publication dans l’annuaire de France Télécom d’un message suggestif et pas vraiment souhaité, associé à leurs noms, qui a profondément choqué : la première voyait son nom inscrit dans l’annuaire associé à la mention « raciste, n’aimant pas les arabes » ; le nom de la seconde était associé à une mention plus explicite à caractère : « en manque de b… ». Sandra, la Rennaise de 20 ans concernée par ce dernier commentaire, déclare « j’ai commencé à recevoir des appels d’inconnus me proposant des choses affreuses. Chrystelle, la Chambérienne soi-disant raciste, a subi l’opprobre des 200 000 abonnés de France Télécom en Savoie qui reçoivent l’annuaire. Après dépôt de plainte, ces deux clientes des téléphoniques Free et Bouygues Télécom, ont découvert que depuis l’ouverture du marché des Télécoms à la concurrence, les abonnés des autres opérateurs doivent faire une demande expresse pour figurer dans l’annuaire. Et le fichier transmis par l’opérateur n’est pas toujours contrôlé : parfois y subsistent des mentions ajoutées par des chargés de clientèle soit mal  intentionnés, soit cherchant à se défouler à peu de frais.

De la roupie de sansonnet, comparé à ce qui peut vous arriver si vous êtes amateur de sexe en ligne … et personnalité connue : depuis quelques années, une industrie très rentable s’est développée, qui permet à un particulier de dialoguer, et plus si affinités, avec une hôtesse – c’est leur nom officiel. Le 3615 Ulla ou Sabrina permettait déjà ceci sur Minitel mais désormais, depuis votre téléphone mobile, vous pouvez voir Sabrina se déshabiller, murmurer, susurrer, et s’agiter devant la caméra pour satisfaire tous vos caprices. La consommation est évidemment surtaxée et grâce à votre écran de portable vous associez la voix à l’image.

Chacun fait fait fait c’qui lui plaît plaît plaît, disait la chanson. Là où le bât blesse, c’est que les grands consommateurs de ce type de services peuvent être identifiés et fidélisés grâce à leur téléphone mobile qui sert d’identifiant. Dans l’une des PME parisiennes spécialisées dans ce type de service et qui emploie dans son call center une trentaine d’hôtesses au milieu d’un studio vidéo, la rédaction a réussi à récupérer les fichiers de téléphone mobile de ces grands consommateurs et leur identité. Les croisements de fichiers de ce type ne sont pas si compliqués : l’identité d’un détenteur de numéro de téléphone mobile, surtout lorsqu’il s’agit de personnalités connues, est souvent disponible dans les annuaires d’anciens élèves, de clubs sélects, d’agences de voyage haut-degamme. Quelques opérations de dédoublonnement de fichiers et vous êtes en mesure de savoir quel grand patron, quelle personnalité du showbiz, du sport ou des médias consomme  quoi, où et quand. Les hôtesses de ces call-centres spécialisés étant souvent en manque d’argent – elles sont rares à faire ce métier par passion –, ces call-centres étant accessibles sans mesures de protection réellement draconiennes, il suffit de connaître les bonnes personnes ou d’agiter quelques billets au bon moment.

On est loin des 170 euros piratés sur le compte du Président.
Avec de telles données à disposition, et compte tenu du roulement de personnel qui caractérise les centres de contacts partout en France, même s’il a diminué, un Bacar Nboh plus ambitieux, même agissant seul, peut faire … quelques dégâts.

Les grandes sociétés françaises bien discrètes sur les procédures de sécurité dans leurs centres d’appels.
Quelles leçons les entreprises françaises, notamment les plus exposées d’entre elles, ont-elles tiré de ces précédents ?  Lorsque notre rédaction les interpelle sur des questions précises relatives à leurs procédures de sécurité encadrant leurs dispositifs de relation client, celles impliquées dans l’incident présidentiel sont peu disertes, et s’en tiennent à des communiqués de presse convenus. Ainsi celui de Téléperformance : « Téléperformance France déplore les malversations constatées sur son centre de contacts opérant pour le compte de la société Canal +, mais se félicite également que ces procédures relatives à la traçabilité des opérations aient contribué à l’arrestation d’une bande organisée aujourd’hui présumée d’avoir opéré depuis plusieurs sources extérieures à l’entreprise » Chez Canal + « Le groupe tient à préciser que l’entreprise à qui il avait sous traité certaines tâches administratives et dont le collaborateur a commis un acte d’escroquerie à l’égard de Nicolas Sarkozy ne travaille plus pour Canal + depuis plusieurs mois. Canal + a adopté des dispositions nécessaires pour que les données personnelles de ses clients soient totalement protégées et  qu’un tel incident ne puisse pas se reproduire»

Ces déclarations officielles laissent bien d’autres questions sans réponse :

-Pourquoi Canal + a-t-il cessé sa collaboration avec Téléperformance, et quand ? -Les « dispositions nécessaires » mentionnées dans le communiqué ont-elles failli ou étaient elles lacunaires avant cet incident ?

-D’autres groupes sont ils susceptibles d’être concernés par de tels incidents ?

Les directions de la relation client et les directions de la communication des sociétés Canal +, Téléperformance, Orange, et SFR ont été sollicitées pour répondre aux questions suivantes :

-Vos centres d’appels connaissent-ils des problèmes de ce type ? (téléconseillers utilisant ou récupérant des données dont ils font un usage frauduleux).

-Comment un téléconseiller peut-il, dans un centre d’appels en général, et en particulier au sein de votre société, disposer de coordonnées bancaires et en récupérer un grand nombre ? Vous estimez-vous, en tant que prestataire, plutôt bien organisé pour pallier ce type d’incident ?

-Quelles dispositions sont prises pour éviter ce type de manipulation et de récupération à des fins frauduleuses de ces informations sensibles ? Les téléconseillers sont-ils informés dans leur contrat de travail des risques encourus en cas de malveillance ? Existe-t-il, comme dans des grands groupes français, une direction de la sécurité menant de temps à autre des contrôles aléatoires ?

-Estimez-vous que votre société est mieux organisée à cet effet que d’autres prestataires ? A défaut, quelles mesures correctives comptez-vous prendre ou avez-vous prises pour éviter la réitération d’un tel événement ?

-Cette affaire a été médiatisée mais d’autres le sont moins. Combien de fraudes de ce type surviennent sur une année dans un groupe comme le vôtre ?

Aucun groupe n’a à ce jour souhaité nous répondre; parfois lorsque les réponses ont été fournies par les opérationnels en charge des centres d’appels, comme ce fut le cas chez Orange, les directions de la communication ont imposé un blackout sur ces informations.
Mais nos investigations continuent.

http://www.en-contact.com/httpdocs/fraude-sur-les-coordonnees-bancaires-de-nicolas-sarkozy-les-centres-d%E2%80%99appels-de-canal-et-teleperformance-impliques.html