« En un an, cette demande de vignette nous a coûté 450 euros » : en juillet 2017, cette jeune femme, qui souhaite garder l’anonymat, a cliqué sur le premier lien que Google lui proposait, anti-pollution.assistances-formalites.com, pensant acquérir une vignette Crit’Air pour 1 euro sur un site officiel. Elle venait en fait d’autoriser un prélèvement de 49,90 euros, puis de 69,90 euros tous les deux mois au profit d’une entreprise privée, Iron SLS.

Comme elle, des centaines de milliers de Français ont été victimes de cette société londonienne créée par Julien Foussard en 2014. Le principe est toujours le même : ces sites demandent une somme modique pour un document administratif. Sauf qu’en validant la commande, les clients souscrivent aussi à un abonnement de plusieurs dizaines d’euros, indiqué en petits caractères.

Portrait (en édition abonnés) : Julien Foussard, le sulfureux golden boy de la French Tech

Le gouvernement a décidé de s’attaquer à ces sites, à l’origine d’au moins 150 millions d’euros de préjudice pour les Français par an, selon le ministère de l’économie et des finances. Lundi 17 septembre, en partenariat avec la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), une campagne de sensibilisation a été lancée. Le ministère publie une liste de conseils pour éviter de se faire piéger.

Après plus d’un an d’enquête de la répression des fraudes, une information judiciaire a été ouverte le 27 juillet pour pratique commerciale trompeuse et blanchiment

Dans le viseur de la DGCCRF : la société Iron Group. Après plus d’un an d’enquête de la répression des fraudes, une information judiciaire a été ouverte le 27 juillet par le parquet de Paris pour pratique commerciale trompeuse et blanchiment. Le préjudice total s’élève à plus de 100 millions d’euros, selon une source proche de l’enquête. Car cette société a créé des milliers de sites, sur un modèle de tarification analogue à celui des vignettes Crit’Air, ont raconté au Monde plusieurs de ses anciens employés.

Tous ces sites étaient affichés dans les premières positions des résultats de recherche, en raison des investissements publicitaires d’Iron. « On cramait entre 20 000 et 50 000 euros par semaine de pub par site », se souvient un ex-collaborateur. Résultat : les internautes affluent. Mais ne s’aperçoivent de l’abonnement qu’au bout de deux mois et demi en moyenne, soit après environ 125 euros de préjudice, explique une source proche du dossier. Certains se plaignent aux pouvoirs publics, pensant s’être rendus sur un site officiel.

Une situation intenable pour Bénédicte Roullier, responsable du département qualité des services en ligne à la direction interministérielle du numérique , qui gère les sites de l’administration. Entre janvier 2016 et septembre 2017, elle traque ces sites et les signale à Google. « Mais ils réapparaissaient aussi vite qu’ils disparaissaient », déplore-t-elle. C’est qu’en coulisses, les équipes d’Iron s’activent, racontent les anciens salariés : on commande aux développeurs un générateur de sites Web, et à d’autres la création de listes d’URL qui pourront remplacer celles bannies par Google.

Création de « sites vitrines »

« En l’espace de quatre, cinq mois, on a listé plus de 3 000 noms de domaines », se souvient un ex-salarié. Et quand Google décide de faire le ménage dans toutes les publicités d’Iron, les conséquences se font vite sentir. En mars 2017, un plan de départs est proposé « en raison d’un volume de ventes réduit les trois derniers mois », indique la société à ses salariés.

Pour tromper la vigilance du moteur de recherche, des « sites vitrines » sont créés. Ils proposent un service clairement privé, en lien avec les mots-clés achetés sur le moteur de recherche. « Notre site vitrine proposait de créer des arbres généalogiques, se souvient un ancien employé. Cela justifiait nos achats des mots-clés sur les actes de naissance. » Seules les personnes cliquant sur les publicités depuis la France accèdent au site vendant des actes de naissance pour 1 euro (plus l’abonnement). « Les autres, ceux qui tapent directement le nom du site ou ceux qui sont situés en Irlande [où Google a ses bureaux de vérification des publicités], ne voyaient que le site vitrine », poursuit-il.

Autre moyen d’éviter les sanctions : créer des sociétés dont le nom prendra la place de celui d’Iron dans les mentions légales. Officiellement, ces sociétés sont des partenaires à qui Iron fournit des services allant du développement des sites à la gestion du service après-vente. Mais en interne, aucun doute ne subsiste quant à leur nature réelle. « Tous les lundis, nous avions une réunion pour présenter les chiffres de la semaine. Il était clair, même pour nous les stagiaires, qu’on parlait des sites d’Iron et de personne d’autre », raconte un ancien salarié. Un autre souligne que les fondateurs d’Iron eux-mêmes ont géré la constitution de ces sociétés : « A l’automne 2015, ils ont créé au moins 20 sociétés, principalement en Hollande. »

Mais la principale force de ces sites, c’est leur design, revu par un avocat spécialiste du droit du numérique à l’été 2015. « Exit les cases précochées indiquant “j’ai lu les conditions générales d’utilisation” (CGV), exit aussi les CGV illégales ou inaccessibles et les symboles trop officiels », dit un ancien.

Reste que de nombreuses personnes continuent de se faire piéger. Selon une source proche de l’enquête, c’est parce que le design des sites a été conçu pour jouer sur des biais cognitifs, pour pousser les utilisateurs à choisir la réponse qu’on attend d’eux : « Ces dark patterns incitent l’internaute à ne se concentrer que sur les boutons de couleur vive pour procéder à l’achat. Ils ne voient pas les petits caractères en gris sur gris, qui parlent de l’abonnement. »

D’autant qu’Iron est allé plus loin, selon cette même source : « La page d’accueil est codée de telle manière à ce que l’internaute ne peut voir ni le bandeau en haut, qui indique que le site est payant et privé, ni la partie basse de la page, qui détaille l’abonnement. A moins de scroller [faire défiler la page], il ne verra que le bouton d’achat et la Marianne surdimensionnée sur le modèle de document administratif reproduit sur la page d’accueil. »

L’enquête de la répression des fraudes semble cependant avoir effrayé les cofondateurs d’Iron, qui ont annoncé sa fermeture, sur son site, le 16 août. Contactés par Le Monde, aucun d’entre eux n’a souhaité répondre.