Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Campagnes d’escroqueries au Compte Personnel de Formation (CPF)

Publié le 10 déc. 2020

Compte formation CPF Escroquerie

23888 Temps de lecture : 20 min

Vous avez reçu un appel téléphonique d’une personne qui souhaite vous faire bénéficier d’une formation financée par votre Compte Personnel de Formation (CPF) ? Cette personne prétend appartenir à la plateforme « Mon Compte Formation » ou à un autre organisme et tente d’accéder à votre compte CPF ? Il s’agit d’une tentative d’escroquerie qui vise à détourner vos droits à la formation !

Des campagnes de ce type d’escroqueries ont été identifiées ces derniers mois et sont toujours en cours. Analyse de cette menace et recommandations pour y faire face réalisées avec le soutien du groupe Caisse des dépôts, membre du dispositif Cybermalveillance.gouv.fr, et qui gère le site Moncompteformation.gouv.fr.

1. Qu’est-ce-que le Compte Personnel de Formation (CPF) ?

Le Compte Personnel de Formation (CPF) permet à toute personne active d’acquérir des droits à la formation utilisables tout au long de sa vie professionnelle. Ces droits sont crédités automatiquement chaque année sur le compte CPF par les employeurs. Depuis le 1er janvier 2019, le compte CPF est directement crédité en euros et non plus en heures, dans la limite d’un plafond de 5 000 €. Pour les agents du secteur public, les droits acquis en heures peuvent être convertis en euros à raison de 15 € par heure.

Le CPF a remplacé au 1er janvier 2015 le Droit Individuel à la Formation (DIF). Les heures de DIF non consommées peuvent être transférées vers le CPF jusqu’au 31 décembre 2020, en les déclarant sur le site Internet officiel Mon compte formation (cette date a été prolongée au 30 juin 2021 dans le cadre de l’état d’urgence sanitaire).

Chaque actif (salarié, agent public, demandeur d’emploi ayant travaillé) dispose d’un espace personnel sur le site officiel moncompteformation.gouv.fr pour gérer et utiliser son compte CPF.

2. Quel est l’objectif de l’escroquerie au Compte Personnel de Formation (CPF) ?

Le but des escrocs est d’arriver à accéder au compte CPF de la victime et de l’inciter à s’inscrire, ou bien de l’inscrire sans son consentement, ou encore à son insu, à une formation factice ou frauduleuse qui sera débitée des droits à la formation de la victime.

Ces formations factices, ou sans réel contenu pédagogique, sont alors commandées auprès de sociétés « douteuses » ou qui usurpent l’identité de véritables organismes de formation qui feront régler frauduleusement le montant de la formation financée par le compte CPF de la victime. Les préjudices pour les victimes peuvent alors aller de quelques centaines à plusieurs milliers d’euros.

3. Comment se déroule l’escroquerie au Compte Personnel de Formation (CPF) ?

L’arnaque au Compte Personnel de Formation démarre généralement par un appel téléphonique d’une personne prétendant appartenir à la plateforme « Mon Compte Formation », à un organisme de formation ou bien encore à un organisme public comme le groupe Caisse des Dépôts, le ministère du Travail, de l’Emploi et de l’Insertion ou Pôle Emploi.

L’escroc fait valoir à la victime ses possibilités de droits à la formation. Il indique que ces droits sont utilisables et mobilisables par le biais du compte CPF, qui peut être consulté et géré depuis le site Internet Moncompteformation.gouv.fr.

L’escroc argumente, de manière convaincante et/ou pressante, pour que la victime s’inscrive à une formation.

Parfois, l’escroc informe la victime de son droit à transférer les heures de DIF acquises jusqu’en 2014 vers son compte CPF. Il précise que ces heures seront perdues si cette action n’est pas réalisée avant la fin de l’année et demande alors d’anciens bulletins de salaire ou justificatifs de l’employeur de l’époque nécessaires à ce transfert. Cet argument crédibilise la démarche de l’escroc puisqu’il s’agit là d’une possibilité offerte aux détenteurs de compte CPF, ce qui lui fournit un prétexte pour contacter la victime qu’il met ainsi en confiance. Cela permet également d’augmenter le crédit disponible sur le compte, et donc, d’augmenter le montant des sommes que l’escroc pourra dérober.

En pratique, l’escroc recourt à différents stratagèmes pour parvenir à ses fins et accéder au compte CPF de la victime.

Il peut, par exemple, demander le numéro de sécurité sociale de la victime et parfois même son mot de passe qui permet l’accès au compte CPF. Il peut également accompagner la victime pour l’aider à réinitialiser son mot de passe si elle a déjà créé un compte et en profiter pour tenter de le récupérer.

Si la victime n’a pas encore procédé à la création de son espace personnel, l’escroc peut proposer de l’aider à le créer pour en obtenir les informations de connexion au compte, à savoir le numéro de sécurité sociale et le mot de passe. Parfois, il peut même aller jusqu’à le créer à sa place, en y inscrivant une adresse de messagerie (mail) qui lui appartient afin de prendre le contrôle du compte.

Dans certains cas, l’escroc connaît déjà les nom, prénom, numéro de téléphone et de sécurité sociale de la victime.

Enfin, certaines victimes ont découvert qu’elles avaient été inscrites à des formations à leur insu et débitées de leur crédit. Dans cette situation, il est très probable que leur compte CPF ait été piraté avec des informations (identité, numéro de sécurité sociale, adresse…) obtenues de manière frauduleuse.

Les auteurs de ce type d’arnaque diffusent également des publicités sur des sites Internet, des applications ou des réseaux sociaux (Facebook, Instagram…) ou envoient des e-mails « publicitaires » (spam) qui orientent les internautes vers un formulaire où ils renseignent leurs souhaits de formation et leurs coordonnées. Ces derniers sont ensuite appelés pour la mise en œuvre de l’arnaque.

4. Comment font-ils pour avoir ces informations ?

Pour obtenir ces informations, les escrocs peuvent recourir à différentes méthodes comme l’hameçonnage, qui est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (identité, mots de passe, numéro de téléphone…) en lui envoyant un message usurpant l’identité d’un tiers de confiance.

Les escrocs peuvent également pirater le compte CPF de la victime, soit parce qu’il était insuffisamment protégé en raison d’un mot de passe trop faible, soit parce que certaines données ont été communiquées sur de nombreux sites Internet. Ces sites revendent ou échangent parfois leurs fichiers d’informations personnelles avec différents partenaires plus ou moins scrupuleux dans des objectifs marketing. Ces fichiers sont parfois également récupérés par des cybercriminels qui peuvent les utiliser dans des campagnes publicitaires frauduleuses, pour des attaques par hameçonnage, ou pour ce type de campagnes d’arnaques.

5. Que faire si vous êtes victime ?

  1. Au moindre doute, ne communiquez pas votre numéro de sécurité sociale ou votre mot de passe d’accès à votre compte CPF. En effet, il s’agit certainement d’une tentative d’arnaque pour vous inscrire à une formation sans votre consentement.

  2. Changez immédiatement le mot de passe de votre compte CPF si vous l’avez communiqué. Changez également le mot de passe piraté sur tous les autres sites ou comptes sur lesquels vous pouviez l’utiliser. Cela permettra d’éviter que les escrocs piratent ces autres sites ou comptes et vous y portent également préjudice. Tous nos conseils pour gérer au mieux vos mots de passe.

Comme pour de nombreux services publics, l’espace personnel de votre compte CPF est accessible via FranceConnect. Cette solution est proposée par l’État pour simplifier la connexion par l’intermédiaire d’un compte existant (impots.gouv.fr, ameli.fr…). Si l’escroc a utilisé cette solution pour vous amener à vous connecter à votre CPF, modifiez immédiatement le mot de passe du compte utilisé.

3. Si vous ne pouvez plus vous connecter à votre compte CPF, signalez votre piratage et demandez la réinitialisation de votre mot de passe. Contactez la plateforme Mon Compte Formation au 09 70 82 35 51 (du lundi au vendredi de 9h00 à 17h00 – appel non surtaxé) afin de l’informer du piratage de votre compte et lui demander la réinitialisation de votre mot de passe.

4. Consultez les informations disponibles sur votre compte CPF. Après avoir modifié votre mot de passe, consultez l’historique des actions, les informations personnelles vous concernant et l’état de vos dossiers de formation pour identifier toute action frauduleuse.

5. Conservez toutes les preuves en votre possession : nom de la formation, nom de l’organisme de formation, adresse postale, adresse mail, numéro de téléphone, contrats de formation…

6. Signalez les faits à la plateforme Mon Compte Formation si vous constatez que vous avez été inscrit à une formation à votre insu au 09 70 82 35 51 (du lundi au vendredi de 9h00 à 17h00 – appel non surtaxé) : https://www.moncompteformation.gouv.fr/espace-public/nous-contacter.

7. Pour être conseillé dans vos démarches, contactez au besoin la plateforme Info Escroqueries du ministère de l’Intérieur, joignable au 0 805 805 817 (appel et service gratuits) de 9h à 18h30 du lundi au vendredi.

8. Si vous avez été victime d’une escroquerie, déposez plainte au commissariat de police ou de la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
Vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.


Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.


Usurpation d’identité (article 226-4-1 du code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende.

6. Comment se prémunir des arnaques au Compte Personnel de Formation (CPF) ?

  1. Ne communiquez jamais d’informations sensibles (numéro de sécurité sociale, mot de passe) par messagerie, par téléphone ou sur Internet : Votre numéro de sécurité sociale est un numéro unique et personnel qui permet de vous identifier auprès de divers organismes publics. Il ne peut être utilisé que dans des cas bien précis et seuls des organismes habilités dans un strict cadre réglementaire sont autorisés à l’enregistrer et l’utiliser. Par ailleurs, ne communiquez jamais votre mot de passe à un tiers. Aucun organisme de formation professionnelle ou centre d’appel n’est autorisé à vous demander ces informations personnelles et confidentielles. Si l’on vous les demande, considérez que vous êtes face à une tentative d’escroquerie.

  2. Mettez fin sans tarder à la communication téléphonique ! Stoppez toute communication au moindre doute, même si votre interlocuteur se montre insistant ou menaçant. Au besoin et si possible, bloquez le numéro de téléphone de l’appelant. Votre appareil dispose en effet de fonctionnalités permettant de bloquer des numéros de téléphone (voir documentation du téléphone).

  3. Soyez vigilant lorsque vous communiquez votre numéro de téléphone fixe ou mobile à des tiers.

  4. Utilisez des mots de passe différents et complexes pour chaque site et application utilisés pour éviter que, si un compte est piraté, les cybercriminels puissent accéder aux autres comptes utilisant ce même mot de passe.

  5. N’ouvrez pas les courriels ou leurs pièces jointes et ne cliquez jamais sur les liens provenant de chaînes de messages, d’expéditeurs inconnus, ou d’un expéditeur connu, mais dont le contenu du message est inhabituel ou vide.

  6. Appliquez de manière régulière et systématique les mises à jour de sécurité du système et des logiciels installés sur votre machine.

  7. Vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, il s’agit certainement d’un site frauduleux. Il suffit parfois d’un seul caractère changeant pour vous tromper.

  8. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer) ce qui affichera alors l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance ou allez directement sur le site de l’organisme en question par un lien favori que vous aurez vous-même créé.

  9. Évitez de vous connecter à un ordinateur ou à un réseau Wi-Fi publics. Non maîtrisés, ils peuvent être contrôlés par un pirate.

  10. Déconnectez-vous systématiquement de votre compte après utilisation pour éviter que quelqu’un puisse y accéder après vous.

  11. Soyez vigilant lorsque vous répondez à des formulaires d’inscription, des bons de commande ou participez à des jeux concours : certains acteurs n’appliquent pas toujours les bonnes pratiques et votre numéro de téléphone pourrait figurer dans des bases de données à votre insu. Vérifiez la fiabilité d’une marque avant d’accorder votre consentement par téléphone pour éviter que votre numéro ne soit communiqué à des tiers.
Besoin de plus de conseils ?

• Site officiel Mon Compte Formation : https://www.moncompteformation.gouv.fr/espace-public/nous-contacter


• Pour en savoir plus sur le Compte Personnel de Formation (CPF) : https://travail-emploi.gouv.fr/formation-professionnelle/droit-a-la-formation-et-orientation-professionnelle/compte-personnel-formation


Info Escroqueries au 0 805 805 817 du lundi au vendredi de 9h à 18h30. Numéro vert (appel gratuit). Plateforme du ministère de l’Intérieur.

Article réalisé avec le soutien du groupe Caisse des dépôts, membre du dispositif Cybermalveillance.gouv.fr, et qui pilote le service en ligne Moncompteformation.gouv.fr

Mon COmpte Formation logo
Caisse des Dépôts logo