Nos données sensibles sont-elles en sécurité ? Faut-il confier à Canal +, à son opérateur mobile ou à sa banque les détails les plus intimes de sa vie les yeux fermés ? L'affaire Sarkozy est là pour mettre en évidence la vulnérabilité des abonnés de Canal +. Rappelons les faits. Le président de la République repère sur son relevé bancaire, en septembre, un prélèvement suspect de 170 euros. Branle-bas de combat. Le 5 mars, le site Mediapart révèle les dessous de l'affaire. A l'origine de la subtilisation des données bancaires, un salarié de la société Teleperformance, mis en examen le 27 février. Il aura donc fallu cinq mois pour remonter à la source.
Au-delà de Canal +, cette affaire met en cause Teleperformance, le champion de la relation client – 12 500 salariés en France, 83 000 collaborateurs dans le monde – à qui Canal avait confié la gestion de ses abonnés. Plutôt que de s'excuser pour avoir laissé s'échapper des numéros de comptes bancaires, Teleperformance tient «à témoigner de sa totale coopération avec les autorités judiciaires» . De son côté, Canal + s'est borné à annoncer la résiliation de son contrat de sous-traitance à Teleperformance. Seul commentaire autorisé de Canal : «On s'est constitué partie civile.»
Mais, ce matin, Manuel Jacquinet dénonce dans sa revue professionnelle En-contact la légèreté des réponses apportées et surtout celle des dispositifs mis en œuvre par les centres pour protéger les informations sensibles. Ce spécialiste de la relation client a fondé en 1997 la première société de conseil du secteur, Colorado, dont il a quitté la présidence en 2008. Il a aussi assisté en 2004 Jean-Louis Borloo, alors ministre de l’Emploi, lors de la réflexion sur la professionnalisation des centres d’appels.
A l'appui de sa démonstration, Manuel Jacquinet lance une petite bombe : il affirme avoir réussi à récupérer les fichiers de téléphonie mobile de grands consommateurs de services pornographiques. En cause, une PME parisienne spécialisée dans le chat et la vidéo live , deux prestations sur mesure dispensées par des hôtesses employées dans son centre d'appels. «Ces call centers sont accessibles sans mesures de protection réellement draconiennes» , révèle le spécialiste. Expliquant que cette accessibilité peut permettre d'identifier «quel grand patron, quelle personnalité du show-biz consomme quoi» . «Imaginez quels chantages peuvent être mis en œuvre !» poursuit ce spécialiste. Et de rappeler d'autres incidents. Comme ces deux abonnées au téléphone, qui se sont retrouvées dans les pages blanches de l'annuaire de France Télécom, affublées de la mention «raciste, n'aimant pas les Arabes» pour l'une, abonnée à Free, et «en manque de bite» pour l'autre, cliente de Bouygues Telecom. En cause, l'échange entre opérateurs de fichiers annotés de façon sauvage par des chargés de clientèle insuffisamment contrôlés.
De son côté, Libération a interrogé, à propos de l'affaire Canal +/ Teleperformance, Eric Dadian, PDG d'Intra Call Center et président de l'Association française de la relation client (AFRC) qui coiffe tous les centres de contact, qu'ils soient internes aux entreprises ou externes comme Teleperformance. Le piratage du compte de Sarkozy ? «Nous n'en avons pas débattu [sic].» A l'entendre, tout repose sur les salariés : «Ils ont une obligation de confidentialité. C'est une déclaration sur l'honneur, et c'est dans leur contrat.» La profession, dit-il, emploie en France 250 000 salariés et gère des milliards de contrats. «C'est évident qu'on n'est pas à l'abri de fraude.»
Libération a interrogé par mail Teleperformance sur l'apparente facilité d'accès de ses employés aux coordonnées bancaires, et les mesures qui ont suivi le vol des données de Sarkozy. La firme s'est contentée de lister sur une page ses dispositifs généraux de sécurité (protection des accès aux plateaux de téléconseillers, login, mots de passe, création d'une direction de la sécurité…), et ses procédures (contrôle des stylos et des appareils mobiles ou photographiques, outils de traçabilité…). Dont acte.
Chez Orange, dont les call centers emploient 11 000 conseillers clients en interne – seul un dixième de l'activité est sous-traitée –, on insiste sur le traçage des salariés. «On sait tel jour à telle heure, quel salarié a eu accès à quelles fiches. Mais on gomme le RIB [relevé d'identité bancaire, ndlr]». Le VIP est versé dans le même fichier que Monsieur tout le monde. Quand Cécilia qui s'appelait encore Sarkozy a été insultée sur son mobile, en janvier 2008, Orange explique qu'il a débrouillé fissa le nœud. Et vite repéré celui qui avait accédé à la fiche en dehors de toute nécessité de service : «Vingt-quatre heures après la réquisition judiciaire, on avait mis la main sur le coupable» , se félicite t-on chez Orange. Cela peut faire peur et rassurer tout à la fois.
Paru dans Libération du 18 mars 2009