A compter de ce mardi 25 octobre, les utilisateurs du site Moncompteformation.gouv.fr devront passer par le service d’authentification France Connect + pour acheter de nouvelles formations. Un tour de vis qui permet d’ajouter une vérification supplémentaire de l’identité des utilisateurs du site : France Connect + est une déclinaison lancée en 2021 du service d’identité en ligne France Connect proposant une authentification forte, fondée sur au moins deux facteurs, pour les services les plus sensibles.
Si France Connect permet d’accéder à des services en ligne en réutilisant les identifiants d’accès à d’autres services administratifs, France Connect + propose une authentification plus sécurisée passant par un fournisseur agréé. Ce dispositif, qui permet de se connecter à plus de 1 400 services publics déjà couverts par France Connect, était pour l’instant optionnel. C’est la première fois qu’il est rendu obligatoire sur un portail.
Pour l’heure, un seul fournisseur permet de se connecter via France Connect + : l’Identité numérique La Poste, qui permet d’avoir recours à une authentification forte s’appuyant sur un couple identifiant/mot de passe et une application sur smartphone afin de vérifier l’identité de l’utilisateur. Pour les utilisateurs ne disposant pas de smartphone ou ne souhaitant pas avoir recours au service de La Poste, un formulaire dédié sera mis en place dans la rubrique « Aide » du site, qui permettra de souscrire à des formations sans passer par France Connect +.
Dispositif d’accompagnement dans les bureaux de poste
Un dispositif d’accompagnement des usagers sera également déployé dans les bureaux de poste, afin de permettre aux usagers de « vérifier leur identité en ligne, en bureau de poste ou à domicile en prenant rendez-vous avec leur facteur », détaille la direction interministérielle du numérique (Dinum) qui supervise le système. Elle précise que si l’Identité numérique La Poste est pour l’instant le seul fournisseur agréé, d’autres devraient être pris en charge à l’avenir.
Ce choix technique fait grincer des dents la Fédération nationale des organismes de formation des élus locaux (FNOFEL), qui déplore dans un communiqué « une modification unilatérale » contraignant les élus à se soumettre à un « système d’authentification incompréhensible », inadapté aux besoins des élus locaux. La fédération regrette une nouvelle étape dans la numérisation à marche forcée imposée par la Caisse des dépôts et des consignations – qui gère le site moncompteformation.gouv.fr depuis le début de l’année 2022 –, au détriment des élus et des organisations dédiées à leur formation.
Des escrocs se procurent les identifiants du compte CPF de la victime (…) pour inscrire la victime à des formations factices (…) et récupérer les sommes sur le compte
Ce renforcement des contrôles d’identité sur la plate-forme vise à mieux lutter contre les escroqueries au compte personnel de formation (CPF), devenues particulièrement fréquentes depuis le passage du droit individuel à la formation (DIF) au CPF en 2019. Dans ce type d’arnaques, des escrocs se procurent les identifiants du compte CPF de la victime, le plus souvent en se faisant passer au téléphone pour des représentants du service, et exploitent ensuite cet accès pour inscrire la victime à des formations factices ou de mauvaise qualité et ainsi récupérer les sommes présentes sur le compte.
Des contrôles renforcés en 2022
En 2021, l’organisme de lutte contre la fraude financière Tracfin estimait ainsi à 43,2 millions d’euros en 2021 le total concernant les déclarations pour soupçon de fraude au CPF, contre seulement 7,8 millions d’euros pour l’année 2020. Le déploiement de nouveaux contrôles au cours de l’année 2022 semble néanmoins porter ses fruits : comme l’explique la Caisse des dépôts, le nombre de signalements de tentatives de fraude au CPF au cours de l’année 2022 est passé de 8 207 en janvier 2022 à 4 123 au mois d’août. Une tendance sensiblement égale sur la plate-forme cybermalveillance.gouv.fr : sur celle-ci, le nombre de signalements d’internautes victimes de fraudes au compte CPF a considérablement baissé depuis le mois de juin après un pic au mois de janvier, explique Jean-Jacques Latour, directeur expertise cybersécurité au sein de la plate-forme cybermalveillance.gouv.fr.
Les parlementaires étudient une proposition de loi visant à interdire toute prospection commerciale des titulaires d’un compte personnel de formation
En parallèle de cette mesure technique, les parlementaires étudient une proposition de loi visant à interdire toute prospection commerciale des titulaires d’un compte personnel de formation, par téléphone, courrier électronique ou réseaux sociaux. Ce texte, approuvé par l’Assemblée nationale le 7 octobre, prévoit notamment de punir les organisations responsables de ce type de démarchage d’une amende pouvant aller jusqu’à 75 000 euros pour une personne physique ou 375 000 euros pour une personne morale. Le texte doit maintenant être validé par le Sénat avant sa promulgation.
D’autres mesures plus générales ont également été prises afin de lutter contre les escroqueries. Depuis le mois de janvier, les organismes qui souhaitent proposer des formations sur la plate-forme moncompteformation.gouv.fr doivent par exemple disposer du label Qualiopi, qui permet de s’assurer d’un niveau de qualité minimum du contenu de la formation. Au niveau de France Connect, la connexion au site des impôts en utilisant France Connect et les identifiants Ameli a été désactivée au mois de septembre face à une recrudescence des tentatives d’escroqueries. La Caisse des dépôts précise avoir également recours à des outils d’intelligence artificielle pour détecter les fraudes de manière préventive, et procéder à des vérifications auprès de fournisseurs de formations selon les signalements.