L’escroquerie
Entre le 12 et le 18 juin 2018, diverses entreprises ont reçu par fax un semblant de document, mi-circulaire- mi-courrier, les incitant à se « régulariser au Règlement général pour la protection des données personnelles » en appelant le 0977558580 !
Pour qui est un peu rompu à la correspondance administrative, il apparaît tout de suite que c’est une arnaque. C’est ainsi que Christophe Binot, de Total, a tout de suite posté l’image du fax reçu (données de destinataire masquée) et dénoncé le procédé sur le réseau LinkedIn.
D’autres responsables d’entreprises, moins avisés, ont pu être intrigués par ce fax, à une époque où le fax est en voie de disparition même s’il reste utilisé dans un certain nombre de PME. D’après les témoignages d’un site d’identification des numéros téléphoniques, les détenteurs du numéro de téléphone « se présentent comme membre d’un organisme de l’Union Européenne alors que c’est une société qui arnaque à coup de « formations » à 500,00 € ».
On apprend aussi que ce numéro est en liste rouge et a été attribué par l’opérateur VOXBONE. J’ai tenté d’appeler le numéro pour en savoir plus mais, après le 18 juin, sans succès : « Toutes les lignes de votre correspondant sont occupées, veuillez rappeler ultérieurement ».
L’affaire a été hâtivement résumée dans un bref article sur BFMTV. A priori, la tentative d’escroquerie s’est arrêtée là.
La démarche diplomatique
Les commentaires autour de cette arnaque ont évoqué partiellement (et parfois à tort du reste) les incohérences de ce document, certains soulignant à juste titre l’intérêt d’en faire un catalogue complet.
Mon propos est ici de recenser tous les indices de fausseté de ce document, en m’appuyant sur la méthode diplomatique (science du document authentique).
La méthode consiste a examiner systématiquement le document tel qu’il se présente, dans la forme (ce qu’on voit) et dans son contenu (ce qu’on lit), afin de déterminer l’authenticité (ou la fausseté) de cet objet documentaire et la fiabilité (ou l’incertitude) de son contenu.
La diplomatique définit l’authenticité comme le fait, pour un document, de porter sur lui les éléments de preuve qu’il est bien ce qu’il prétend être, c’est-à-dire tel document, écrit par la personne qui prétend l’avoir écrit, à la date prétendue. La fiabilité, de son côté, est le fait que le contenu d’un document correspond à la réalité des faits et que le destinataire peut donc s’appuyer sur ce qui est dit dans ce document pour faire ou dire autre chose. C’est dans ce sens que l’on peut parler d’une copie fiable, alors que la copie, en soi, s’oppose au document authentique. Les deux notions sont différentes (et trop souvent confondues). On les retrouve notamment dans la norme ISO 15489 (2001, 2016) sur le records management.
La diplomatique distingue deux grands types de faux :
- la falsification: le faussaire part d’un document existant (déjà produit, déjà diffusé, déjà engageant) qu’il modifie, en changeant les noms, les chiffres ou sommes d’argent indiquées dans le texte, la date, la signature, etc., ce qui, compte tenu de la définition ci-dessus, retire au document son authenticité ;
- la forgerie (on entend parfois le terme de contrefaçon appliqué au document, c’est la même chose) : le faux est fabriqué de toutes pièces, à partir d’une feuille blanche, ou d’un papier à entête, parfois avec des éléments copiés-collés d’autres documents.
Le faux fax en cause est une forgerie.
Pour prouver l’authenticité (qui est une), il est difficile de se passer de l’original. En revanche, pour prouver la fausseté (qui est multiple, pour ne pas dire infinie), une copie peut suffire, a fortiori quand les indices de falsification ou de forgerie sont très nombreux, comme dans le cas présent.
L’analyse diplomatique consiste à observer d’abord l’aspect extérieur du document puis ses indices internes, à la fois ce qui se trouve dans le document et ce qui n’y est pas et devrait y être, ce qui suppose d’avoir un modèle de référence. La grille de lecture est celle d’un document standard avec des éléments d’identification (émetteur et destinataire), et des éléments de validation (date, signature, référence) et, entre les deux, le corps du texte qui se décompose à son tour en trois parties :
- l’exposé de l’affaire ; on dira aujourd’hui l’objet, le contexte
- le « dispositif » ou cœur du message porté par le verbe central : je vous informe, je décide, j’achète…
- les clauses ou annexes (références à d’autres documents, pièces justificatives, etc.)
Analyse du faux fax
On parle de faux fax, mais il est plus correct de parler de faux document transmis par fax. Le fax n’est qu’un moyen technologique de transmission par reproduction fidèle et contrôlée du document transmis. Pendant longtemps (et il n’y a pas si longtemps !), le document reçu par fax était considéré comme juridiquement valable, bien avant le mail. Dans le cas présent, c’est bien le document de départ qui est un faux. Le moyen de transmission n’est qu’un artifice supplémentaire pour tromper, en faisant appel à cette « réputation » de naguère du fax. Il y a également tromperie du fait de masquer délibérément le n° de fax expéditeur.
Pour organiser l’analyse, j’ai découpé le document en différentes zones (1, 2, 3…) et sous-zones (A, B, C). Les éléments douteux sont décrits dans le tableau qui suit l’image ci-dessous.
Elément suspect | Zone(s) concernée(s) |
Le logo utilisé avec le nom du règlement à côté des 12 étoiles n’est pas officiel, certes. On ne le trouve ni sur le site Euralex ni sur la page Wikipedia où le seul logo est celui de l’Union. Mais les faussaires n’ont pas inventé le logo utilisé ; on le trouve notamment sur le site https://www.coolandworkers.com/ Le nombre de sites non administratifs (hors Union européenne, hors CNIL…) qui incluent le sigle RGPD dans leur URL sont assez nombreux. J’ai dénoncé dès juillet 2017, l’utilisation indélicate des noms de domaines gdpr.fr et rgpd.fr par des entreprises privées à l’affut du business. Tout cela est de bonne guerre, en tout cas, plus malin. L’élément logo n’est pas donc pas très significatif. | 1 |
Le pavé « Régularisation au Règlement général pour la protection des données personnelles » a lui, très visiblement, été fabriqué par les faussaires : · faute de syntaxe : « régularisation au » (à mon sens, un des éléments les plus significatifs de la fausseté du document) · forme de logo incluant la référence du règlement, ce qui ne correspond à aucune pratique administrative connue ; cela fait plutôt penser à une pub et détonne dans un document qui se veut sérieux | 2 |
Aucune identification de l’émetteur du document, ce qui, au-delà des logos et pseudo-logos doit sauter aux yeux | (1 et 2) |
L’espèce de paraphe sous la mention « service administratif » à la toute fin du document ne respecte pas les critères d’identification de l’émetteur d’un courrier qui doit soit être nominatif soit indiquer la fonction. De plus, si c’était réellement et seulement un service administratif, il y aurait au moins « le service administratif » (avec l’article). Enfin, ce gribouillis est inséré sous les annexes et non sous le dispositif (la décision, l’impératif de régularisation) | 8D |
« Date du décret : 25 mai 2018 » : c’est la date d’entrée en vigueur du règlement, et non la date d’on ne sait quel décret : la confusion est grossière, d’autant plus que cette indication de date du document de référence dans un écrit administratif ne se présente jamais de cette façon (on donne la date, on n’utilise pas le mot « date ». | 3 A |
OBJET : ce passage est correct dans la présentation mais le fait de l’avoir regroupé avec la date du décret et le numéro d’identification en fait une sorte d’étiquette ajoutée après coup et dont la mise en page (à gauche de la date) n’est pas conforme aux pratiques administratives Surtout, l’expression « Régularisation au » n’est pas grammaticalement correcte et doit attirer l’attention | 3 B |
Le numéro d’identification et le code barre qui l’accompagne est suspect : identification de quoi ? une entreprise est identifiée par un SIRET (le SIRET est évoqué plus bas – zone 6, et il n’y a pas encore de dossier constitué d’une éventuelle régularisation | 3 C |
La date (13/06/18) – information capitale dans un document – n’est pas dans la même police de caractères que le reste du texte, ce qui n’est pas un critère de fausseté absolu mais doit alerter ; c’est visiblement le seul élément de tout le courrier créé par les faussaires, tout le reste est du copié-collé. | 4 |
Le début du courrier se présente dans un style pseudo-administratif (cf l’exposé des motifs) qui peut tromper mais ce centrage du paragraphe principal dans un courrier administratif est lui tout à fait surprenant. | 5 |
Sur le contenu, on retrouve pour la 3e fois la formule « régularisation au » qui est incorrecte. | 5 A |
Dans le texte, le mot « organisme » dans « la responsabilité des organismes » peut surprendre car le fax est censé s’adresser à des entreprises ; le terme « établissement » utilisé dans le paragraphe précédent est régulier. Ce point de formulation est toutefois mineur. | 5 B |
L’encadré central correspond bien au » dispositif » du document, c’est-à-dire le point principal visant l’injonction de l’émetteur, la décision, ce qu’il faut faire. L’encadré n’est pas classique mais on le rencontre de plus en plus de nos jours et il n’est pas en soi un indice de fausseté. Ce qui m’accroche en revanche est que la taille des caractères est plus petite que celle des paragraphes précédents (là, il serait bien d’avoir l’original pour analyser l’écriture de plus près mais malheureusement, c’est le faussaire qui le détient). | 6 |
REGULARISEZ-VOUS : la forme de slogan publicitaire, avec l’impératif, détonne dans un courrier administratif ; ceci dit, la confusion des genres est aujourd’hui de plus en plus courante dans l’expression de l’écrit d’une manière générale. | 6 A |
« effectuer votre inscription au règlement » : cette formulation trahit le faux par sa maladresse : il n’existe pas d’inscription au RGPD le faussaire joue avec la confusion possible du destinataire entre les mots registre/règlement (cf inscription au registre du commerce). | 6 B |
« service de régularisation » ; sauf erreur les services de régularisation n’existent que dans le domaine fiscal ; en tout cas, le mot régularisation n’apparaît à aucun moment dans le texte du Règlement. | 6 B |
« Veuillez vous munir… » : le post-scriptum en petits caractères est assez habile en faisant le lien entre le numéro de SIRET et le pseudo numéro d’identification, sauf qu’il mélange la notion d’objet et de référence de dossier. | 6 C |
La partie du document intitulée « GLOSSAIRE RGPD » n’est pas aberrante en soi ; elle correspondant à la partie annexe du courrier. Le problème est que les deux paragraphes qui la composent ne sont pas des définitions, ce qui rend l’ensemble tout à fait suspect. Le glossaire du RGPD fait l’objet de l’article 4 du Règlement ; ce n’était pas difficile de le citer. Le faussaire a vraiment bâclé son travail ! A préciser que l’utilisation du futur dans cette partie (cf « Il entrera en vigueur le 25 mai »), pointée par un commentateur, n’est pas gênante car ce passage est censé être une citation. | 7 |
« solution de digital analytics » : l’emploi d’une expression anglaise attire l’attention car le RGPD est en français | 7 B |
La partie intitulée « ARTICLES DE LOIS CONÇERNANT LE RGPD » fait elle aussi partie des annexes ; le fait qu’elle se présente sous une forme différente du « Glossaire » souligne le montage du faux ; le centrage et l’encadré du titre s’oppose à la présentation du « Glossaire ». Ce manque d’harmonisation de la mise en forme est frappant. | 8 |
Le « ç » a conçernant est une faute de graphie grossière qui attire l’attention. | 8 A |
Mettre un « s » à loi dans cette formule n’est pas régulier non plus. | 8 A |
Le premier paragraphe correspondant soi-disant à des articles de loi ne contient aucune référence précise d’article. | 8 B |
Les références au code pénal, article 226, traitant « De l’atteinte à la vie privée » sont ici en décalage avec l’objet principal du document (« régularisation ») et sont placées là pour faire peur. | 8 C |
Commentaire
Cette analyse, à vocation essentiellement pédagogique, n’est pas destinée à démontrer l’escroquerie dans la mesure où celle-ci est évidente ou quasi-évidente.
Dans le cas présent, les erreurs de forme et les erreurs de fond se complètent et sont les unes et les autres importantes pour la démonstration du faux.
Mais les faux ne sont pas toujours aussi grossiers. Ils sont parfois de bonne facture, par exemple ce faux communiqué de l’entreprise Vinci en novembre 2011.
La forme était bien imitée, mais le numéro de téléphone indiqué était faux et les destinataires, flairant le scoop, ne se sont pas inquiétés de vérifier la source. Et ce jour-là, les faussaires ont atteint leur cible.
L’idée m’est venue (j’espère ne donner de mauvaises idées à personne !) que les escrocs pouvaient dans cette histoire de fax avoir l’intention de jouer au mauvais faussaire/bon faussaire, comme on a le mauvais flic et le bon flic dans d’autres cas de figure. Une première arnaque est cousue de fil blanc et ne trompe personne mais elle est suivie par une autre arnaque mieux orchestrée qui permet à un complice de tromper son monde.
Un autre souci à venir est la baisse de qualité de la forme des documents officiels ou assimilés (agences, associations de service public…) qui contiennent de plus en plus de fautes d’orthographe (de sorte que cet indice-là ne joue plus tant que ça), de fautes de morphologie ou de syntaxe surtout (la langue est parfois pitoyable) et d’erreurs de contenus. Même sans parler d’erreur caractérisée, on trouve de plus en plus de documents administratifs qui ne sont plus rédigés, ou partiellement rédigés, dans la mesure où (telles des attestations ou des autorisations) ils sont produits par des applications métiers, de sorte que le cœur du document officiel est un encadré (un peu comme dans ce faux fax) ce qui n’altère pas en soi l’authenticité du document mais peut surprendre.
Au risque de me répéter, d’un écrit à l’autre, je redis ici que la démarche de critique de l’information, notamment la méthode diplomatique, est un enseignement auquel il faudrait donner plus de poids, tant dans les études secondaires (en adaptant aux risques de la société numérique évidemment) qu’à l’université.