Le fait industriel : un secteur massif et structurellement tourné vers l’offshore
Le marché français de la relation client externalisée représente 3,56 milliards d’euros en 2024, un secteur qui s’est stabilisé après une dynamique de croissance post-Covid de +2 % par an depuis 2021. Derrière cette veille, une stabilité apparente, la géographie du secteur s’est profondément recomposée : en 2024, la France abritait 166 sites de production (en retrait de 5,7 % sur un an), tandis que le nombre de sites à l’échelle mondiale progressait. L’offshore concentre désormais 30 % du chiffre d’affaires du secteur, avec une prédominance du Maroc qui représente 87 % du chiffre d’affaires de cette zone offshore.
Le degré de sensibilité des données traitées par ces prestataires s’est par ailleurs accru. En 2024, 51 % des grandes marques françaises ont confié la gestion de leurs clients premium à des prestataires externes : l’externalisation n’est plus cantonnée aux tâches à faible valeur ajoutée. Les secteurs clients les plus dynamiques incluent l’assurance (+23 %), le retail (+6 %) et l’industrie (+11 %), soit des secteurs manipulant des données financières, comportementales et parfois industrielles sensibles.
Le problème central : la localisation ne garantit plus la maîtrise juridique des données
Le risque ne tient pas uniquement à la qualité de service des prestataires, mais à un changement de nature du droit applicable. L’ANSSI a documenté ce basculement : le recours à un service cloud opéré par un prestataire non européen présente des risques spécifiques liés à l’application de lois à portée extraterritoriale, et des différences de normes de sécurité ou l’absence de contrôle direct sur les infrastructures peuvent complexifier la gestion de la sécurité des données. Pour répondre à cette menace, le référentiel SecNumCloud intègre désormais des exigences de protection face à l’application de ces lois extraterritoriales.
Cette problématique dépasse le seul cloud : elle s’applique à toute donnée transmise à un prestataire de service, y compris les centres de relation client, dès lors que le traitement sort du périmètre juridique européen.
La donnée relationnelle comme renseignement économique
Le risque ne se limite toutefois pas à la fuite de données personnelles ou à la compromission technique des systèmes. Les centres d’appels externalisés traitent quotidiennement une masse d’informations contextuelles à forte valeur économique : habitudes de consommation, profils patrimoniaux, réclamations récurrentes, incidents techniques, difficultés logistiques, retours d’expérience sur des produits non encore lancés, réactions des clients à une hausse tarifaire ou à une crise de réputation.
Prises isolément, ces informations paraissent anodines. Agrégées dans le temps, elles constituent un renseignement économique exploitable, révélant les fragilités opérationnelles, les arbitrages commerciaux ou les orientations stratégiques d’une organisation. Là où une fuite de données expose un instant donné, la connaissance accumulée des interactions clients permet de comprendre le fonctionnement intime d’une entreprise.
Le sous-traitant comme vecteur d’attaque privilégié
L’ANSSI a structurellement identifié les prestataires externes comme un point d’entrée de choix pour compromettre des organisations plus larges. Dans son panorama 2025, une attaque de chaîne d’approvisionnement vise un fournisseur pour atteindre indirectement ses clients ; le fournisseur est une cible stratégique car il dispose souvent d’accès étendus (comptes d’administration, outils de télémaintenance, connecteurs). En compromettant un seul maillon, l’attaquant peut pivoter vers plusieurs organisations sans les cibler une par une. Les sous-traitants présentent souvent des niveaux de sécurité hétérogènes, ce qui augmente les chances d’obtenir un premier point d’entrée.
Ce constat avait déjà été formulé par l’agence dans ses travaux antérieurs : le recours au cloud et l’externalisation de services, lorsqu’ils ne s’accompagnent pas de clauses de cybersécurité adaptées, représentent une menace sérieuse. Même prévenues de leurs vulnérabilités, les organisations ne réagissent pas toujours avec la rapidité nécessaire.
Le principe de responsabilité reste néanmoins clair et non transférable : externaliser une fonction ne transfère jamais la responsabilité des risques. La directive NIS 2 impose désormais une gestion structurée des risques cyber incluant un contrôle renforcé de la chaîne de sous-traitance.
Le précédent du personnel externe : une vulnérabilité documentée
La DGSI a documenté de façon spécifique le risque posé par le personnel externe bénéficiant d’un accès prolongé aux informations internes d’une entreprise : certains consultants, totalement intégrés aux équipes et présents pendant plusieurs mois voire plusieurs années, peuvent avoir accès à des informations sensibles, induisant une vulnérabilité pour le patrimoine informationnel de la structure hébergeante.
Un opérateur de centre d’appels externalisé, en interaction permanente avec la base clients d’une entreprise stratégique, bénéficie lui aussi d’un accès privilégié à la réalité opérationnelle de l’organisation : motifs d’insatisfaction, problèmes de livraison, dysfonctionnements techniques, questions récurrentes sur les offres ou anticipation des attentes du marché.
Cette exposition quotidienne ne fait pas nécessairement du prestataire une menace ; elle crée en revanche une capacité d’observation singulière. À l’instar des consultants évoqués par la DGSI, le risque tient moins à l’intention qu’à la concentration d’informations sensibles entre les mains d’acteurs extérieurs à l’organisation.
Veille sur le cadre de référence existant : le guide ANSSI sur l’externalisation
L’ANSSI dispose d’un cadre méthodologique de référence pour ce type de risque. Son Guide de l’externalisation : externalisation et sécurité des systèmes d’information : maîtriser les risques propose une démarche visant à intégrer la sécurité dès la conception d’un projet d’externalisation.
Le guide recommande notamment l’inclusion de clauses portant sur les obligations du prestataire, les modalités de transfert, la définition des responsabilités, la confidentialité, la localisation des données, les audits de sécurité et les mécanismes de réversibilité.
Signaux faibles à surveiller
La montée en puissance du référentiel SecNumCloud v3.2, qui intègre explicitement la protection contre les lois extraterritoriales. Un cadre qui pourrait, à terme, être étendu ou décliné pour les prestataires de relation client traitant des données sensibles.
La trajectoire de la directive NIS 2 et son application concrète au secteur de la relation client externalisée, notamment pour les entreprises clientes relevant de secteurs critiques comme l’énergie, l’assurance ou l’industrie de défense.
L’évolution de la concentration géographique de l’offshore, dont le Maroc représente aujourd’hui 87 % du chiffre d’affaires français externalisé. Cette concentration ne constitue pas, en elle-même, un risque d’ingérence ; elle crée en revanche une vulnérabilité systémique en cas d’évolution diplomatique, réglementaire ou opérationnelle affectant un prestataire dominant.
La généralisation des copilotes conversationnels fondés sur l’IA générative. De plus en plus d’opérateurs équipent leurs agents d’outils capables d’analyser les conversations en temps réel, de suggérer des réponses ou de produire des synthèses automatiques. La donnée relationnelle n’est alors plus seulement stockée : elle est interprétée. Les corpus de conversations deviennent des gisements d’information susceptibles de révéler des tendances commerciales, des signaux de crise ou des vulnérabilités organisationnelles, notamment lorsque les modèles sont opérés par des prestataires tiers hors du cadre réglementaire européen.
Lecture stratégique de la veille
Le débat sur l’externalisation des centres d’appels est généralement abordé sous l’angle des coûts, de la qualité de service ou de l’emploi. Pourtant, il révèle une transformation plus profonde : la valeur stratégique d’une organisation ne réside pas uniquement dans ses infrastructures ou ses données techniques, mais aussi dans la connaissance fine des interactions qu’elle entretient avec ses clients.
Les centres d’appels sont aux données relationnelles ce que les entreprises de services numériques sont aux systèmes d’information : des intermédiaires indispensables dont la fonction première masque parfois le rôle stratégique qu’ils occupent dans la circulation de l’information.
L’externalisation de la relation client ne transforme pas automatiquement les prestataires en menace. Elle transforme en revanche des acteurs ordinaires en détenteurs d’un renseignement économique diffus, dont la valeur stratégique demeure largement sous-estimée. Dans un contexte où les entreprises renforcent leurs dispositifs de cybersécurité, la véritable vulnérabilité pourrait moins résider dans les infrastructures qu’au sein des interfaces humaines chargées d’écouter, de comprendre et de traiter quotidiennement la voix du client.