COMMISSION DES AFFAIRES SOCIALES
MISSION D'ÉVALUATION ET DE CONTRÔLE DES LOIS DE FINANCEMENT DE LA SÉCURITÉ SOCIALE
Jeudi 19 mai 2011
La séance est ouverte à neuf heures dix.
(Présidence de M. Pierre Morange, coprésident de la mission)
La Mission d'évaluation et de contrôle des lois de financement de la sécurité sociale (MECSS) procède à l'audition de Mme Anne-Sophie Grave, directrice à la direction des retraites, M. Daniel Rau, directeur de la solidarité et des risques professionnels, et Mme Marie-Michèle Cazenave, responsable des affaires publiques à la Caisse des dépôts et consignations.
La représentation nationale est interpellée à propos du minimum vieillesse, sujet qui suscite de nombreuses réactions sur internet et défraye la chronique. Nous souhaiterions que vous nous fassiez le bilan de l'actuelle allocation de solidarité aux personnes âgées (ASPA) : son impact budgétaire, ses bénéficiaires, la ventilation de ceux-ci, la durée de séjour de ceux qui sont d'origine extra-européenne…
Le service de l'allocation de solidarité aux personnes âgées est géré par la Caisse des dépôts et consignations, sous la tutelle du ministère chargé du budget et de celui chargé la sécurité sociale. Il assure la liquidation et le paiement de l'allocation de solidarité aux personnes âgées en faveur des personnes qui ne relèvent d'aucun régime de base obligatoire d'assurance vieillesse, qu'elles soient françaises ou étrangères. L'allocation de solidarité aux personnes âgées est attribuée sous condition d'âge, de ressources, de résidence et de régularité du séjour.
Au moment du dépôt de la demande, les conditions d'ouverture du droit font l'objet de vérifications. En 2010, nous avons ainsi été amenés à rejeter 4 300 dossiers. Nous contrôlons également le maintien des conditions d'attribution, en particulier la stabilité de la résidence, qui est d'au moins cent quatre-vingt jours de présence sur le territoire français. En 2010, ces contrôles ont donné lieu à 7 800 suspensions de droits, qui ont abouti à 2 200 annulations de droits.
Environ 10 000 demandes sont déposées par an. Malgré une évolution dans le temps, sur les quatre ou cinq dernières années, leur nombre est assez constant. En moyenne, 45 % de ces demandes sont rejetées, ce qui signifie qu'à peu près 5 500 allocations de solidarité aux personnes âgées sont attribuées chaque année.
La population totale des bénéficiaires est de l'ordre de 70 000. En 2010, elle était de 70 914, contre 70 024 en 2006, soit une augmentation de 1,3 % en quatre ans et d'environ 0,25 % par an. Le nombre des bénéficiaires est donc relativement stable.
En 2010, nous avons reçu 9 631 demandes contre 10 297 en 2006. Elles ont donné lieu, en 2010, à 5 390 attributions de droits, contre 5 601 en 2006 – ce qui correspond à un léger fléchissement.
Parmi les bénéficiaires, 35 % sont des non-nationaux. Plus précisément, 35,17 % en 2006 et 35,54 % en 2010.
Quel est le taux des ressortissants de l'Union européenne et des ressortissants extra-européens ?
32 % des bénéficiaires sont des non-Européens – 21 000 personnes – et 3 % des Européens – environ 2 000 personnes.
En 2010, le budget de cette allocation était de 572 millions d'euros pour les nationaux et 175 à 178 millions d'euros pour les non-nationaux.
Non. Nos outils informatiques nous permettent seulement de distinguer entre les personnes de l'espace économique européen et les autres.
D'autres ventilations sont-elles possibles ? Je pense notamment à l'ancienneté des bénéficiaires.
En tant que gestionnaires, nous ne suivons pas l'ancienneté des bénéficiaires. Malgré tout, nous avons reconstitué les données correspondantes. Nous pouvons donc vous préciser qu'en 2010, l'antériorité moyenne sur le territoire, au moment de la formation de la demande, était de dix ans et huit mois.
Selon les « légendes urbaines », certains étrangers peuvent bénéficier de l'allocation de solidarité aux personnes âgées dès le moment où ils arrivent sur le territoire national.
L'article L. 262-4 du code de l'action sociale et des familles précise quels sont les titres de séjour permettant d'accéder à l'allocation de solidarité aux personnes âgées.
En principe, il faut pouvoir présenter un titre de séjour d'un an autorisant la personne à travailler, renouvelé cinq fois.
Des exceptions existent, à commencer par les cartes de résident de dix ans et, depuis le traité franco-algérien de décembre 1968, les certificats de résidence de dix ans pour Algériens, qui ouvrent à peu près les mêmes possibilités que la carte de résident de dix ans.
L'attribution de la carte de résident de dix ans relève des préfectures. Parmi les critères d'attribution, on peut citer la qualité d'ancien combattant ayant servi dans les forces françaises ou le fait d'être parent d'un enfant de nationalité française. Je précise que le gestionnaire qu'est la Caisse des dépôts et consignations n'a pas à se prononcer sur ces critères et qu'elle se contente d'apprécier le titre qui lui est présenté.
Deux autres exceptions doivent être soulignées : la qualité d'apatride et celle de réfugié.
Les conditions de cinq ans de résidence sur le territoire national sont donc requises pour tout le monde, à l'exception des apatrides, des réfugiés, des détenteurs d'une carte de résident de dix ans ou d'un certificat de résidence de dix ans pour Algériens.
L'hypothèse selon laquelle on pourrait bénéficier de l'allocation de solidarité aux personnes âgées alors que l'on ne réside sur le territoire français que depuis six mois est donc sans fondement ?
Encore une fois, nous ne nous prononçons pas sur les conditions d'attribution de la carte de résident de dix ans, laquelle est accordée par les préfectures. Son attribution répond à des critères très précis, dont la condition d'ancien combattant et le fait d'avoir des enfants français résidant en France. Cette carte peut être attribuée de plein droit à la personne qui remplit ces critères.
Le fait d'avoir des enfants en France permet, a priori, de venir en France et donc de bénéficier de l'allocation de solidarité aux personnes âgées ?
, oui. Mais je ne me prononcerai pas, en tant que gestionnaire, sur les conditions d'attribution de la carte de résident.
C'est très difficile à dire, dans la mesure où nous ne suivons pas un tel critère.
On nous a fait parvenir des documents officiels, venant des préfectures, selon lesquels il est possible de bénéficier automatiquement de cette allocation à partir du moment où l'on réside en France et où l'on fait la démarche.
Avoir des enfants en France ouvre-t-il donc systématiquement le droit de toucher cette allocation ?
Je ne suis pas capable de répondre à cette question.
Vous nous avez dit que les personnes qui formulaient une demande d'allocation de solidarité aux personnes âgées avaient déjà résidé, en moyenne, dix années et huit mois sur le territoire national. Une moyenne suppose une courbe, avec des extrêmes. Et je ne vois pas pourquoi il ne serait pas possible, à partir de cette courbe, de connaître le nombre des personnes qui se sont manifestées, par exemple, moins d'un an ou de deux ans après leur arrivée sur le territoire.
Nous ne tenons pas de statistiques de cette nature, mais je peux vous répondre en termes de flux : sur l'année 2010, l'effectif des demandeurs ayant résidé moins de cinq ans sur notre territoire s'élevait à peu près à 450 personnes. Sur ces 450 personnes, 76 % détenaient une carte de résident.
Parce que cela ne rentre pas dans nos missions de gestionnaires du service. Si nous pouvons vous donner quelques éléments aujourd'hui, c'est parce que, en prévision de cette audition, nous avons travaillé plus spécifiquement sur l'année 2010 pour pouvoir vous éclairer.
Vous travaillez sur les documents produits par ceux qui font une demande d'ouverture de droits. En vérifiez-vous l'authenticité ? Par quels moyens ? Enfin, comment vous assurez-vous de l'identité de ces demandeurs ?
Chacun des dossiers que nous étudions a préalablement été déposé en mairie par le demandeur ou son ayant droit. Il nous parvient muni du cachet de la mairie et de la signature du maire.
Nous procédons alors à une étude du numéro d'inscription au répertoire (NIR) du demandeur et à une démarche de certification du numéro d'inscription au répertoire auprès de l'Institut national de la statistique et des études économiques (INSEE). Actuellement, 95 % des numéros d'inscription au répertoire sont certifiés.
Cette certification se fait-elle sous l'égide de la Caisse nationale d'assurance vieillesse (CNAV), dont le fichier central, situé sur le site informatique de Tours, constitue une plate-forme permettant justement de relier tous les fichiers de l'ensemble des organismes sanitaires et sociaux français ?
En effet. Le dispositif connaît d'ailleurs une extraordinaire montée en puissance.
En 2010, nous avons examiné la situation de nos 70 000 allocataires dans le cadre de cet échange de fichiers avec le répertoire national commun de la protection sociale (RNCPS). Nous souhaitions nous assurer que ceux-ci n'avaient pas de droits ouverts dans un autre régime de prestations sociales. Il s'est avéré que c'était le cas de 1 300 allocataires, et que, parmi eux, environ un millier avaient fait l'objet d'un versement forfaitaire unique – les personnes qui ont très peu cotisé au titre des autres régimes perçoivent en effet un montant forfaitaire dont le fichier garde la trace.
Nous essayons de faire progresser cette logique, dans la mesure où elle permettra, à terme, de décloisonner l'information entre les différents prestataires et les différents intervenants. D'ores et déjà, grâce aux moyens technologiques dont nous disposons, nous pouvons procéder à des échanges de fichiers et croiser les informations. Nos contrôles s'en trouvent renforcés.
L'identité des 5 % de personnes dont le numéro d'inscription au répertoire n'est pas certifié est douteuse. Leur ouvrez-vous tout de même les droits ?
Quand son numéro d'inscription au répertoire n'est pas certifié, nous demandons systématiquement au demandeur de produire un extrait d'acte de naissance. Cela nous permet de lui servir l'allocation de solidarité aux personnes âgées, dans l'attente de la certification.
Son identité n'est pas douteuse. Nous possédons suffisamment d'éléments sur cette personne pour nous assurer de son existence et de son identité, ne serait-ce qu'à partir des éléments qu'elle a pu fournir à la mairie dans son dossier d'origine. Simplement, son numéro d'inscription au répertoire n'a pas été validé par le fichier.
Certes, la personne existe physiquement. Mais on n'est toujours pas sûr de son identité, qui n'a pas été certifiée.
La certification est un élément de sécurité maximale. Le défaut de certification ne signifie pas que la personne n'existe pas.
Des représentants du ministère des affaires étrangères nous ont confié qu'il était impossible de signer des conventions internationales avec un certain nombre de pays. Comment dès lors vérifier les actes d'identité ou d'état civil présentés par les ressortissants de ces pays ? On ne peut que douter de leur validité.
Sachant qu'environ 5 % des numéros d'inscription au répertoire ne sont pas certifiés – soit environ 100 000 – est-il opportun d'ouvrir malgré tout des droits aux personnes concernées ?
Certes, nous versons la prestation, mais nous le faisons sous réserve de certaines vérifications, sur la base de pièces prouvant l'existence de la personne – en particulier, s'agissant d'un étranger, sa carte de résident.
Vous nous avez dit que le dossier de demande d'allocation de solidarité aux personnes âgées était déposé en mairie par le bénéficiaire potentiel « ou son ayant droit ». Un dossier peut-il donc être ouvert sans qu'on ait pu vérifier le physique du demandeur ?
Je faisais référence aux 18 000 de nos allocataires qui bénéficient de mesures de protection, allant de la tutelle à la curatelle.
Il serait utile de connaître le profil médical et sociologique de l'ensemble des allocataires.
Vous avez par ailleurs cité, parmi les personnes bénéficiant de conditions dérogatoires pour bénéficier de l'allocation de solidarité aux personnes âgées, les demandeurs d'asile…
J'ai cité les apatrides et les réfugiés, mais leur nombre est extrêmement faible.
Nous avons regardé, au 31 mars, de quel dispositif de protection sociale pouvaient précédemment relever nos allocataires. Nous avons constaté que 63 % d'entre eux relevaient déjà d'un dispositif de protection sociale : 38 % touchaient l'allocation adulte handicapé (AAH), et 25 % le revenu minimum d'insertion (RMI) ou le revenu de solidarité active (RSA).
Le nombre des bénéficiaires sous tutelle me semble élevé. Comment se répartissent-ils entre les nationaux et les étrangers ? Pourquoi ne relèvent-ils pas de l'allocation adulte handicapé ? On peut comprendre qu'ils n'aient pas cotisé, étant loin du monde du travail. Mais n'auraient-ils pas dû être couverts par un autre type de prestations ?
Je n'ai pas la réponse.
Peut-être, tout simplement, parce que l'allocation adulte handicapé s'interrompt lorsque l'intéressé atteint un certain âge.
J'observe en tout cas que la Caisse des dépôts et consignations, qui est connue pour la qualité de son travail, ne s'est pas « férocement » engagée dans la bataille statistique.
Le gestionnaire s'est « férocement » engagé à remplir le mandat défini par ses tutelles, en l'occurrence le ministère chargé du budget et celui chargé de la sécurité sociale.
Il ne nous est pas demandé de publier certaines statistiques. L'étude que nous avons réalisée était uniquement destinée à préparer cette audition.
De fait, la curiosité parlementaire n'a pas été précédée par une curiosité similaire de la part de l'exécutif et des autorités de tutelle. Toutefois, la MECSS vous remercie d'avoir préparé cette audition en nous fournissant un certain nombre d'éléments même si, vous l'avez compris, nous aimerions avoir une vision encore plus fine de la situation.
Toujours selon les « légendes urbaines », l'allocation de solidarité aux personnes âgées serait assez facile à obtenir sur le territoire national. Des réseaux se seraient même constitués pour profiter de l'effet d'aubaine. Qu'en est-il ?
Un ministre a souhaité que l'allocation de solidarité aux personnes âgées ne soit pas versée à ceux qui ne résident pas sur le territoire depuis au moins cinq ans. De fait, il semblerait qu'il soit possible de toucher cette allocation sans avoir à remplir cette condition, si l'on est apatride, réfugié politique ou parent d'un enfant de nationalité française. Voilà pourquoi nous serions très intéressés par des statistiques complémentaires.
Vous pouvez sans doute trouver des éléments de réponse dans le fait que la population allocataire de l'allocation de solidarité aux personnes âgées soit stable : depuis quatre ans, le nombre des allocataires tourne autour de 70 000.
Parmi les principaux motifs de rejet, on trouve le cumul de droit, pour 47 %, et la non-validité du titre de séjour, pour 12 %. En 2010, 45 % des demandes ont été rejetées.
Maintenant que le répertoire national commun de la protection sociale existe, il est facile de découvrir, par exemple, les cas de cumul de droits. Dès lors comment se fait-il que votre stock n'ait pas davantage diminué ?
Parce que nous procédions déjà à des vérifications, sous d'autres formes et avec d'autres moyens. J'ai loué la pertinence et la commodité du Répertoire national commun de la protection sociale, mais cela ne signifie pas que, par le passé, nous ne contrôlions pas l'existence éventuelle du cumul de l'allocation de solidarité aux personnes âgées avec une prestation associée à un autre régime.
Il y a dix ou quinze ans, on pouvait lire dans certains rapports qu'en raison de la montée du taux d'activité, tout sexe confondu, la population bénéficiaire du minimum vieillesse allait, sinon disparaître, du moins diminuer considérablement au cours des années. Or cette population est stable. Pourquoi ?
Comment vous assurez-vous que les conditions d'éligibilité à la prestation – notamment les cent quatre-vingt jours passés sur le territoire national – sont remplies ?
Sur le plan démographique, la population bénéficiaire de l'allocation de solidarité aux personnes âgées est constituée d'à peu près 80 % de personnes seules, dont 67 % de femmes – souvent veuves, séparées ou divorcées.
Hors la logique démographique, on observe un nombre élevé de personnes sous tutelle ou hébergées dans des maisons de retraite – 12 000 – et le fait que 40 000 bénéficiaires ont été précédemment bénéficiaires d'autres régimes de protection sociale, en l'occurrence l'allocation adulte handicapé, et le revenu minimum d'insertion ou le revenu de solidarité active.
Par ailleurs, contrairement à ce qui se passe habituellement pour un régime de retraite, la question de l'ouverture du droit est remise en cause et contrôlée chaque année.
C'est difficile à dire.
Puisque vous contrôlez les conditions d'entrée dans les droits dès que les mairies vous transmettent les dossiers, vous pouvez prévoir le volume du stock à partir des flux.
Nous ne disposons pas des données nous permettant de faire une projection sur les populations éligibles. Nous pouvons seulement imaginer que l'allongement de la durée de vie contribuera à l'augmentation du stock.
En raison des caractéristiques de la population à laquelle nous avons affaire et de celles du régime lui-même, il faudra faire en sorte que l'information que nous diffusons – conditions d'éligibilité, droits et obligations des bénéficiaires de l'allocation de solidarité aux personnes âgées, contrôles – soit plus compréhensible. Comme il est difficile de délivrer directement le message aux intéressés, nous pourrions passer par des personnes-ressources ou des personnes relais. Je pense notamment aux employés de mairie qui sont chargés de recevoir les bénéficiaires potentiels au moment du dépôt de leur demande.
Je ne peux pas vous en donner l'origine. En revanche, je peux vous dire comment nous nous sommes aperçus qu'il fallait rendre plus compréhensible l'information délivrée aux demandeurs.
Durant une partie de l'année 2009 et pendant toute l'année 2010, nous avons mené un contrôle de résidence sur l'ensemble de notre population. Au cours de cette enquête, certaines personnes ont déclaré qu'elles étaient parties à l'étranger au-delà du temps autorisé – ce qui entraîne la suspension des droits. Or nous nous sommes aperçus, au vu de la copie des pièces qu'elles nous avaient envoyées – notamment des passeports –, que ces personnes avaient respecté les délais réglementaires.
En tout état de cause, un vrai problème d'information et de compréhension se pose, surtout pour ceux qui ne maîtrisent pas totalement notre langue. Voilà pourquoi nous avons pensé à développer des relais, qui pourraient être aussi les centres communaux d'action sociale, ou les consulats pour les personnes étrangères. L'autre avantage serait qu'avec ces relais d'information, nous pourrions travailler de façon dématérialisée plutôt que sur support papier.
Comment sont effectués les contrôles de résidence et par qui ? Tirez-vous au sort un certain nombre de dossiers ?
D'abord, nous avons procédé à une enquête déclarative générale auprès du stock des allocataires.
Ensuite, à l'appui de cette enquête, nous avons effectué un contrôle sur un échantillon de 3 000 personnes, dont nous avons vérifié les déclarations.
Cent onze annulations pour l'année 2010.
Dans quelques jours, nous aurons terminé une cartographie des risques. L'exercice consiste à prendre en considération tous les cas possibles et imaginables, à partir des éléments de contrôle qui sont intégrés dans le processus de gestion, qui est informatisé. Pour la partie résiduelle, qui n'est pas prise en compte par l'outil informatique, on peut procéder à des contrôles ciblés. La cartographie des risques permet de piloter plus efficacement les contrôles.
À partir de l'entretien avec les gestionnaires, sachant que l'outillage informatique permet déjà d'effectuer un certain nombre de contrôles : par exemple, lorsqu'un titre de séjour nous parvient, sa date de fin de validité est entrée dans le système d'information ; deux mois avant l'échéance, le système appelle l'attention des bénéficiaires concernés sur le fait que leur titre de séjour va arriver à expiration ; si aucune réponse n'est apportée et que le délai est dépassé, le paiement de la prestation est suspendu.
La cartographie des risques consiste, à partir de l'existant, à étudier, avec les gestionnaires, tous les cas possibles de fraude et à établir une sorte de cotation du risque, en commençant par ce qui est le plus important, de manière à piloter des actions de contrôle de façon plus ciblée.
La démarche est habituelle à la Caisse des dépôts et consignations : le contrôle interne est très renforcé et des cartographies des risques sont établies, quels que soient les processus gérés. En l'occurrence, nous sommes en train d'en développer sur la fraude, notamment la fraude sociale.
L'enquête de résidence, réalisée à partir du mois de mai 2009 et sur l'intégralité de l'année 2010, est pérennisée. Nous sommes en train d'en faire un bilan très précis et exhaustif.
Quant à la cartographie des risques, elle viendra, en complément, optimiser le pilotage du contrôle.
Le pourcentage des annulations de droits est-il similaire à celui des années précédentes ? Dans le cas où il serait plus élevé, ne faudrait-il pas développer des outils encore plus pertinents.
Les chiffres sont restés à peu près stables entre 2009 et 2010, à peine supérieurs à ceux de 2008, année où a été publiée la circulaire sur le délai de résidence de cent quatre-vingt jours.
L'enquête de résidence concernait-elle les 21 000 bénéficiaires étrangers non ressortissants de l'Union européenne ?
L'enquête a porté sur l'intégralité du stock, c'est-à-dire sur l'ensemble des allocataires : plus ou moins 70 000.
Pour contrôler le respect des conditions de résidence, vous avez vérifié les passeports, les demandes de visa et les séjours à l'étranger. Mais êtes-vous allés plus loin dans votre investigation en procédant, par exemple, à des enquêtes de voisinage, comme le font les caisses d'allocations familiales, à des visites à domicile, à l'examen du compte bancaire ou des factures de téléphone ?
En dehors du contrôle de résidence, nous effectuons un contrôle qui porte sur 30 000 personnes par an. Au bout de trois ans, tous les bénéficiaires ont ainsi été contrôlés. À cette occasion, nous examinons assez systématiquement un certain nombre de pièces en relation avec les ressources des intéressés, comme les comptes bancaires.
C'est un contrôle exclusivement sur pièces. Nous ne faisons pas d'enquêtes de voisinage.
Pourquoi ne vous êtes-vous pas rapprochés, par exemple, des caisses d'allocations familiales, avec qui il est facile de signer des conventions, ou d'autres services ?
Ensuite, l'enquête qui portait sur les 3 000 personnes tirées au hasard a-t-elle été menée en interne ? Vous êtes-vous appuyés sur des prestataires de services ?
Les contrôles effectués sur 38 000 personnes ont donné lieu à 7 800 suspensions de droits – les droits de ceux qui ne répondent pas sont suspendus. In fine, ces contrôles ont abouti à 1 500 annulations de droit.
La problématique du gestionnaire est de mettre les moyens appropriés en face d'un risque. C'est cette problématique que l'on apprécie au travers de la cartographie des risques. Aujourd'hui, en tant que gestionnaires, nous pouvions penser que ce contrôle était pertinent et efficace, compte tenu des résultats obtenus.
Si vous n'avez pas les moyens humains suffisants pour effectuer des contrôles sur place, il serait logique que vous passiez des conventions, notamment avec les agents de contrôle des caisses d'allocations familiales.
C'est à cela que je faisais implicitement référence tout à l'heure en parlant de décloisonner l'information entre les différents prestataires sociaux. Nous sommes en train de mettre au point une nouvelle convention d'objectifs et de gestion (COG) avec notre tutelle, grâce à laquelle les autres régimes ayant contrôlé certains de nos bénéficiaires pourront nous faire part du résultat de leurs contrôles.
Elle est en cours de validation, de la part de nos tutelles respectives. Sans doute sera-t-elle validée à la fin de l'année.
Je vous remercie. Nous souhaiterions néanmoins obtenir des informations complémentaires sur la façon dont se répartissent les bénéficiaires de l'allocation de solidarité aux personnes âgées et connaître les mesures que vous aimeriez voir adopter par la représentation nationale.
La Mission d'évaluation et de contrôle procède ensuite à l'audition, ouverte à la presse et au public, de M. Bernard Didier, directeur général adjoint, directeur technique et de la stratégie de Safran Morpho, et Mme Carole Pellegrino, responsable des relations institutionnelles, Mme Marie Figarella, vice-présidente Stratégie et affaires gouvernementales de Gemalto France, et M. Ari Bouzbib, responsable Identité et programmes gouvernementaux, M. Georges Liberman, président-directeur général de Xiring, M. Frédéric Massé, directeur des relations institutionnelles de Sap France SA, et M. Jacques de Varax, directeur du GIE Sesam-Vitale.
Gemalto, fort de son expérience en France et à l'international, présent sur onze projets de cartes nationales d'assurance maladie et de standardisation des cartes européennes d'assurance maladie, a plusieurs propositions à faire.
Tout d'abord, on pourrait envisager de renforcer la gestion des droits associés à chaque carte. Aujourd'hui, à notre connaissance, toutes les cartes d'assurance maladie n'ont pas une durée de validité logique. La rendre systématique permettrait de réduire sensiblement les risques de fraude, une fois les droits épuisés. La question de la validité physique de la carte pourrait également être étudiée.
Cette mesure a déjà été adoptée par plusieurs pays, dont l'Allemagne. Une durée de validité de cinq ans paraît raisonnable pour une carte de santé, mais on pourrait l'étendre à dix ans.
La Slovénie, où la société Gemalto a installé l'un des systèmes les plus aboutis au monde, a mis en place le régime de validité suivant : trois mois pour les étudiants et les étrangers, un an pour les salariés du privé, trois ans pour les retraités et les salariés du public. Les droits sont inscrits dans la puce, et non sur la carte. L'assuré doit donc mettre à jour sa carte – pour l'essentiel dans les pharmacies – avant la date d'expiration pour pouvoir continuer à l'utiliser.
Les durées et les catégories devraient, bien entendu, être adaptées au cas français, mais une telle mesure permettrait de limiter les risques d'utilisation abusive ou frauduleuse avant l'acte, car le contrôle s'effectuerait hors ligne et a priori. Cela ne nécessiterait pas de modification structurelle de la carte car elle a intégré cette possibilité dès le départ : il suffirait d'utiliser la procédure standard de mise à jour chez le pharmacien.
On pourrait par ailleurs prévoir l'enregistrement des dernières transactions dans la carte, ce qui permettrait, par exemple, de refuser le tiers payant en cas d'utilisation abusive. Un simple compteur de transactions par ayant droit permettrait d'éviter un grand nombre de fraudes. En revanche, à ma connaissance, cette fonctionnalité n'est pas disponible sur la carte Sesam-Vitale 2.
Elle est d'ores et déjà appliquée en Slovénie, et l'Allemagne a prévu d'ajouter un compteur de transactions à sa nouvelle carte. Pour que le dispositif soit efficace, il faudrait remplacer rapidement les cartes déjà déployées, afin d'homogénéiser le parc.
Nous avons introduit un compteur de transactions sur les cartes de santé de la Bulgarie, de l'Algérie, du Gabon et du Mali. Comme vous le faisiez remarquer, les pays d'Afrique commencent à mettre en place des cartes de santé sécurisées.
La carte algérienne reprend peu ou prou les fonctionnalités de la carte slovène. L'objectif est de permettre une gestion des droits associés à chaque carte.
Il s'agit donc de passer d'un outil statique à un outil dynamique, ce qui pose le problème de la sécurisation des documents permettant d'ouvrir des droits. Or, dans un certain nombre de pays, l'état civil est des plus aléatoires. Comment résoudre ce problème ?
Concevoir un titre à vie reviendrait à nier que la menace en matière de fraude évolue. La sécurité n'est pas permanente et la technologie doit s'adapter en conséquence. La société Morpho est surtout connue dans le domaine de la biométrie. Nous avons mis en place 450 systèmes, équipant plus de 100 pays dans le monde, en matière de droits sociaux, de passeports, de cartes d'identité et de droits de vote faisant appel à la biométrie. Ces systèmes reposent sur trois grands principes : contrôler le bien-fondé de la délivrance du droit ; authentifier l'organisme émetteur, pour s'assurer qu'il est de confiance ; authentifier le porteur du document, pour vérifier qu'il n'y a pas eu substitution.
C'est sur le premier et le troisième points qu'intervient la biométrie. Dans la plupart des États, la délivrance d'un droit s'accompagne généralement d'un effort financier sur sa matérialisation, par exemple sur le composant électronique, la personnalisation, les documents de sécurité. On oublie souvent que les failles en matière de sécurité se situent au niveau des documents servant à justifier la demande.
Vous avez évoqué la situation de certains pays étrangers, mais même en France, à partir du moment où il n'existe pas encore d'état civil centralisé, il est difficile de déterminer si une identité est fictive ou non – même si la dématérialisation des extraits de naissance, préconisée par l'Agence nationale des titres sécurisés, devrait empêcher ce type de fraude à l'avenir.
L'objectif de la biométrie est de vérifier que l'on ne délivre pas plusieurs fois les mêmes droits à une même personne – ce qui peut poser des problèmes de protection des données, dans la mesure où l'on constitue un fichier biométrique dont la finalité peut être détournée. En France, il devrait être possible de s'appuyer sur la nouvelle carte d'identité – une proposition de loi est en cours d'examen au Sénat –, sans qu'il soit nécessaire de mettre en oeuvre un système biométrique spécifique.
Par ailleurs, on peut introduire une donnée biométrique dans la carte elle-même, celle-ci ne pouvant être déverrouillée que sur sa présentation – par exemple, l'empreinte digitale, le visage ou l'iris. La Commission nationale de l'informatique et des libertés (CNIL) ne s'y oppose pas, car la donnée biométrique est sous le contrôle de l'usager : elle protège les données personnelles et permet à l'usager de prouver qu'il est bien le possesseur de la carte, interdisant tout prêt ou substitution.
En matière de droits sociaux, notre référence est la gestion du système social de l'État de New York, qui distribue 25 milliards de dollars par an : le contrôle de la délivrance par un moteur biométrique a permis de réaliser 10 % d'économies. Partout où nous avons mis en place un tel système, il s'est avéré que la fraude avait été sous-évaluée. Dans l'État de New York, ce sont 20 % des personnes qui n'ont plus accès aux droits, la moitié parce qu'elles ont changé de statut ou quitté l'État, l'autre moitié parce qu'elles essayaient de frauder. Nous distribuons les pensions en Afrique du Sud selon le même mécanisme.
Pour ce qui est du contrôle de l'usage du titre, la Commission nationale de l'informatique et des libertés a autorisé l'expérimentation d'une identification des patients en radiothérapie par empreinte digitale. L'hôpital de Malaga a mis en place un mécanisme de distribution de médicaments reposant sur la biométrie. En Australie, la distribution de la méthadone se fait au moyen de cartes biométriques qui préservent l'anonymat de la personne. Aux États-Unis, un État va utiliser la biométrie pour gérer les personnes sans domicile fixe et sans identité.
En Espagne, on utilise dans quelques provinces, notamment à Madrid, la biométrie pour l'identification des nouveaux nés, afin d'éviter toute erreur d'attribution à la sortie de la maternité.
Par ailleurs, il existe, dans la région de Madrid, une expérience pilote d'identification aux urgences des personnes atteintes de la maladie d'Alzheimer, grâce à la biométrie. L'objectif est d'étendre la pratique à l'ensemble de la population de la région.
Xiring bénéficie d'une expérience européenne sur les systèmes de carte de santé et sur les systèmes de carte en général. S'agissant de Sesam-Vitale, nous fournissons un parc de 280 000 terminaux, participons à la signature de 700 millions de feuilles de soins électroniques et au traitement de 20 millions de demandes de mises à jour de cartes Vitale par an. Nous fournissons également des systèmes carte de santé à la Belgique, à la Slovénie et à l'Allemagne.
La société Xiring est par ailleurs fortement impliquée dans le domaine de la sécurité. Nous sommes partenaires de l'Agence nationale des titres sécurisés pour sécuriser l'administration française ; à ce titre, nous avons équipé la gendarmerie nationale, et l'Union des groupements d'achats publics a retenu nos produits pour la sécurisation des postes de travail de l'administration.
La différence entre un système de santé et un système bancaire, c'est que, dans un système bancaire, s'il manque dix euros, quelqu'un va se plaindre. Il y a une responsabilité des acteurs : le porteur de la carte bancaire et le commerçant surveillent leur compte, la banque surveille les transactions. Tous les acteurs sont impliqués dans la sécurité.
Dans un système comme celui de Sesam-Vitale, la sécurité n'est le problème de personne. Le porteur de la carte n'est pas concerné : si des transactions sont faites avec son numéro de carte, il ne le sait même pas. Les professionnels de santé estiment ne pas devoir faire la police ; dans certains cas, une forme d'humanisme les conduit même à accepter des cartes dont ils savent pertinemment que le patient n'est pas le titulaire. Quant à l'État, il a du mal à identifier la fraude.
Le seul mode de protection d'un système santé est donc l'infrastructure technologique : il faut que les réseaux, les cartes, les systèmes soient conçus pour empêcher la fraude, sans qu'il y ait besoin d'une intervention humaine. C'est pourquoi l'on note, dans la plupart des pays d'Europe, une très forte évolution vers plus de sécurité, de contrôle et de gouvernance, avec des cartes plus puissantes, des terminaux incluant des systèmes de sécurité et des réseaux gérés par des entités chargées de surveiller le bon fonctionnement de l'infrastructure.
De ce point de vue, le système Sesam-Vitale donne satisfaction. Il présente toutefois une faiblesse, qui devrait disparaître avec la nouvelle carte d'identité nationale : il n'établit aucun lien direct entre la personne et la carte. Il serait bon de le faire, soit grâce à une évolution de la technologie de la carte, soit en recourant à la nouvelle carte nationale d'identité électronique pour valider les transactions de santé.
Par ailleurs, on note un peu partout un renforcement de la sécurité des terminaux. Le système allemand, qui est le plus récent, se rapproche ainsi de par son niveau de contrôle des systèmes utilisés par les banquiers. Le modèle bancaire devrait d'ailleurs alimenter la réflexion, car il utilisé par 250 pays dans le monde et est soumis à de très forts risques de fraude. Sesam-Vitale n'est pas encore confronté à la fraude informatique, ou à des pirates informatiques en Ukraine ou en Asie attaquant le système par l'extérieur en pénétrant les ordinateurs des médecins ou des infirmières, mais cela pourrait se produire. En France, les 200 000 à 300 000 professionnels de santé ont acheté leurs ordinateurs par leurs propres moyens, et leur niveau d'équipement en logiciels est limité ; ils font du peer to peer (échanges de pair à pair), du téléchargement, de la messagerie non sécurisée sur leur poste de travail. Pour éviter que l'institution soit obligée de financer leurs antivirus et leurs firewalls (pare-feux), il faudrait confier la sécurité à des outils dédiés.
Notre recommandation est donc double : premièrement, renforcer la sécurité de l'infrastructure : c'est-à-dire des cartes, des terminaux et des réseaux ; deuxièmement, améliorer le contrôle de la personne et le lien entre la carte et l'individu.
Force est de constater que, quel que soit le système retenu, la fraude existe : l'inventivité des fraudeurs, voire des délinquants – on voit en effet apparaître une fraude internationale s'attaquant aux systèmes sociaux les plus permissifs –, est telle qu'il faut s'intéresser à ce qui se passe en aval, c'est-à-dire aux systèmes qui stockent et analysent l'ensemble des informations relatives aux prestations et aux prélèvements.
En France, en 2010, le ministère du travail, de l'emploi et de la santé estimait que le taux de fraude se situait entre 0,91 et 1,36 %, et que 88 % des sommes étaient recouvrées : on en conclurait presque qu'il n'y a pas de problème ! Or, aux États-Unis, le Government Accountability Office (GAO) – l'équivalent de la Cour des comptes – estimait en mars 2011 que la fraude sur les programmes medicaid et medicare, dont le budget s'élève à 750 milliards de dollars, représentait 70 milliards de dollars, soit 9 % des deux programmes. De deux choses l'une : soit la France est particulièrement vertueuse, soit la fraude détectée est sans commune mesure avec la fraude réelle !
Avant de lutter contre la fraude, il faut donc la détecter. Le problème, aujourd'hui, c'est que l'organisation des différents acteurs du système social français ne permet pas de croiser facilement les données et de repérer les anomalies et les incohérences.
La première étape consiste à collecter des informations d'origines diverses, à les consolider, à en assurer la traçabilité et à réaliser une première analyse. Cela soulève des difficultés non seulement légales – quoique la Commission nationale de l'informatique et des libertés n'interdise pas la lutte contre la fraude –, mais aussi techniques et organisationnelles, la quantité de données à traiter étant colossale. En Allemagne, dont le système de sécurité sociale est proche du nôtre, l'Allgemeine Ortskrankenkassen, c'est-à-dire la caisse d'assurance maladie, a décidé d'utiliser des systèmes de consolidation de données afin de lutter contre la fraude, détecter des profils de pathologie et mettre en place des services d'anticipation ; bien que les volumes à traiter soient énormes – 21 millions de dossiers, 800 millions d'enregistrements en ligne –, les temps de réponse ne dépassent pas les trente secondes. Cette technologie est également utilisée, à l'échelon national, par l'administration fiscale espagnole, pour gérer en ligne 2 milliards d'enregistrements.
Vient ensuite ce que les Anglo-Saxons appellent l'intelligence, c'est-à-dire l'analyse des données : en appliquant des algorithmes, il s'agit de faire de l'analyse prédictive en mettant en évidence des profils, plus ou moins complexes, de fraude. En cette matière, nous travaillons, avec IBM, sur le logiciel SPSS (Statistical Package for the Social Sciences). Le monde de la banque et de l'assurance utilise beaucoup ce type d'outils, de même que de nombreux services de police.
Il convient aussi d'intégrer une dimension internationale, ou à tout le moins européenne, afin de retrouver les ayants droit étrangers ou résidant à l'étranger, et de pouvoir croiser les données entre pays.
Après que l'on a détecté une anomalie et qu'elle a été qualifiée d'irrégularité ou de fraude, il faut engager le travail d'investigation. Le problème en France, c'est qu'il existe un découpage entre ce qui relève du système de sécurité sociale et ce qui relève du système judiciaire, alors que d'autres pays, comme les États-Unis, l'Australie, ou le Royaume-Uni, ont mis en place des autorités cumulant les deux compétences. Ces systèmes d'instruction vont permettent d'affiner la connaissance des profils de fraude et, en retour, d'améliorer les systèmes de détection.
En Australie, nous mettons ainsi en place une organisation des processus et un système de suivi des investigations, pour le compte de Center Link, organisme qui est chargé de gérer l'ensemble des services sociaux – retour à l'emploi, protection de l'enfance, gestion des retraites –, et distribue 62 milliards de prestations sociales par an. Le projet a débuté au début du mois de mars, et le premier service sera opérationnel au début du mois de juin à Melbourne. Ces systèmes sont donc extrêmement rapides à mettre en oeuvre ; il s'agit simplement de dématérialiser des actes, d'enregistrer des lieux, des objets, des outils et des textes, et d'analyser l'ensemble de ces informations, qu'elles soient ou non structurées.
Notre recommandation serait de simplifier et de renforcer l'organisation actuelle, en créant une agence chargée spécifiquement de la lutte contre la fraude, dont les missions seraient plus étendues que celles de l'actuelle Délégation nationale à la lutte contre la fraude (DNLF), et qui serait dotée d'un système informatique capable de faire de l'analyse de données et de lancer des investigations. Une telle mesure aurait trois objectifs principaux : recouvrir les sommes payées de façon indue, envoyer un signal fort à l'adresse des fraudeurs, et donner à l'ensemble des acteurs sociaux le sentiment que le problème est sérieusement pris en considération. En 2007, le Conseil des prélèvements obligatoires a d'ailleurs rendu un rapport extrêmement intéressant sur le sujet, mettant en évidence les effets très négatifs de la fraude sur le lien social.
Nous prenons acte de vos propositions.
S'agissant de la sous-estimation de la fraude en France, je rappellerai que je suis à l'origine de la création du répertoire national commun de protection sociale. Il a fallu quatre ans pour que le décret d'application soit publié, à la suite de toute une série de résistances. La mise en oeuvre de la mesure est pour le moins laborieuse.
Les donnée relatives à la fraude sociale sont variables et incertaines car il s'agit, par essence, d'un domaine très mal connu. Vous avez cité l'exemple américain ; mais même dans un système de type beveridgien, comme le système britannique, dont les capacités de contrôle sont supposées supérieures, la fraude est évaluée à 4 % ou 5 %. Pour le système français, qui est mixte, une estimation aussi modique ne semble guère raisonnable. À quel niveau situeriez-vous la fraude sociale en France ?
S'agissant des États-Unis, il faut faire attention, car, comme l'identité est gérée à l'échelon des États, il existe des possibilités de fraude différentes. En France, nous avons détecté, dans d'autres domaines, des taux de fraude allant de 5 % à 8 %. S'agissant des droits sociaux, je pense que le taux est inférieur à 5 %, mais supérieur à 1 %.
Il est difficile d'obtenir des chiffres concernant la fraude. Le plus transparent de nos clients est la Slovénie. Or, alors qu'il s'agit d'un système national particulièrement sécurisé, le taux de fraude est estimé entre 5 % et 7 %. On peut supposer qu'il est supérieur en France.
Il faut aussi tenir compte du degré de développement économique et de déstructuration d'une nation : les aléas des dernières décennies ont pu provoquer l'émergence de stratégies de contournement, ne serait-ce que pour des raisons de survie.
La Slovénie possède une organisation centralisée, une carte d'identité électronique et un contrôle particulièrement fort de la citoyenneté et de l'identité. C'est aujourd'hui le pays d'Europe le plus avancé en termes d'identité électronique et de dématérialisation de l'identité !
Il s'agit d'un sujet extrêmement important, qui entretient le doute à l'égard des institutions politiques et sociales. Il faudrait à tout le moins se doter d'outils permettant d'évaluer objectivement la fraude : soit l'on démontrera que la fraude est résiduelle, et l'on pourra communiquer sur ce thème ; soit l'on constatera – comme c'est à craindre – qu'elle se situe autour de 5 %, mais on pourra dire que les institutions sociales se sont saisies du problème. Or, comme vous l'avez signalé, il ne s'est pas passé grand-chose depuis 2006 : ce n'est pas le meilleur signal à donner.
Que pensez-vous du dispositif actuel ? Que faudrait-il faire pour lui donner toute son efficacité opérationnelle ?
Les pays les plus efficaces sont ceux qui ont créé une institution chargée de la lutte contre la fraude. Le problème en France, c'est que l'articulation entre la chaîne policière et la chaîne judiciaire soulève des difficultés techniques. En outre, il existe une triple disjonction : l'institution sociale mène une partie de l'investigation, puis le cas échéant saisit un magistrat, qui chargera la police judiciaire d'aller au-delà. Aucun système informatique ne pourra traiter cette complexité organisationnelle ; n'écoutez pas ceux qui prétendent que l'informatique peut tout régler !
Combien coûteraient la création d'une carte biométrique et l'équipement des professionnels de santé en terminaux permettant d'en contrôler l'utilisation ?
Il est difficile de vous donner un chiffre précis, mais je ne pense pas que cela revienne beaucoup plus cher que le système actuel ; l'évolution de la technologie des cartes et des terminaux n'a pas d'effets notables sur leur coût : un terminal bancaire n'est pas beaucoup plus cher qu'un terminal Sesam-Vitale, alors qu'il est bien plus sécurisé.
Il faut toutefois se méfier des approches économiques qui ne prennent en considération qu'un seul aspect de la question. Le système Sesam-Vitale permet des transactions en mode non connecté : il ne s'agit pas d'un système en ligne, qui imposerait à l'administration d'effectuer des contrôles en temps réel, vingt-quatre heures sur vingt-quatre, sept jours sur sept. Si l'on voulait mettre en oeuvre un tel système, cela entraînerait des coûts d'infrastructure énormes. Actuellement, une grande partie des coûts sont supportés par les acteurs : les terminaux sont achetés par les professionnels de santé et la « télémise à jour » est financée en grande partie par les établissements qui décident de s'équiper.
Le système actuel fonctionne de façon relativement satisfaisante, même s'il doit être renforcé. Par ailleurs, méfiez-vous des gens qui prétendent qu'il n'y a pas de fraude et que l'on peut simplifier le système pour qu'il aille plus vite ! La fraude a un coût, et si l'ensemble des systèmes carte dans le monde s'oriente vers un renforcement de la sécurité, ce n'est pas un hasard. Il faut s'inspirer de l'expérience des pays voisins et du modèle bancaire.
Le préalable serait de déterminer les modifications à apporter à l'architecture actuelle, au niveau de la carte. Si l'on compte à peu près un an pour mettre à jour l'ensemble des logiciels, il n'y aurait plus qu'un tiers des cartes à changer. Grosso modo, si l'on retient un coût unitaire de 3 euros, le coût total serait de 60 millions d'euros pour 20 millions de cartes. Si l'on rapporte cette somme aux gains potentiels – une réduction de 10 % de la fraude, laquelle coûte, selon la presse, 1 milliard par an –, l'investissement serait amorti en moins d'un an. Mais il faut que, dans un premier temps, les industriels réfléchissent ensemble à toutes les étapes : la spécification de la carte – durée de validité logique, compteur de transactions – et la délivrance du titre dans le cadre d'un face à face. C'est ainsi que nous avons procédé pour la carte nationale d'identité électronique.
Non, il s'agit du coût de fabrication d'une carte intégrant les données actuelles – comme la photo, qui n'est pas systématiquement contrôlée par le médecin.
Je ne recommanderais pas la création d'un système biométrique pour ce genre d'application. Normalement, il revient à l'État d'en créer un pour l'ensemble des activités sociales ; vous gagneriez à utiliser celui qui sera lié à la nouvelle carte d'identité.
Lorsque l'État de New York et le Texas ont mis en place leur système central biométrique, il y a une dizaine d'années, il fallait compter l'équivalent d'un dollar par personne : c'est proportionnellement moins cher que la carte. Toutefois, il faut prendre en considération les facteurs qui pèseront sur le coût d'investissement : la population concernée, le nombre de requêtes par jour et la capillarité du système.
Le coût de l'intégration d'éléments biométriques à l'intérieur de la carte Sesam-Vitale est marginal par rapport aux 3 euros évoqués : il s'élève à quelques dizaines de centimes. Cela ne revient pas plus cher qu'un autre mécanisme de sécurité.
Un terminal biométrique coûte quelques centaines de dollars l'unité. Mais, là encore, l'effet de quantité joue.
En 2008, au salon « Cartes & Identification », on trouvait une pile de journaux au titre accrocheur : « L'Allemagne est en train de distancer la France sur son système carte ». L'article visait à montrer que l'Allemagne avait pris de l'avance dans le déploiement de nouvelles solutions carte. Voyez où en sont les Allemands aujourd'hui ! Cela ne signifie pas que leur solution ne soit pas la bonne – elle n'est pas très différente de la nôtre –, mais ils sont confrontés aux problèmes habituels de décision politique, d'acceptation par les professionnels de santé et de gouvernance.
Par ailleurs, je souhaiterais faire une mise au point : le système français, le plus important au monde en volume, a une politique de sécurité. Celle-ci n'est pas parfaite, on peut en contester les principes, mais je ne laisserai pas dire que la sécurité n'est l'affaire de personne.
La proposition de M.Frédéric Massé de créer un observatoire me semble une bonne idée. Comment comparer des pays qui n'ont ni la même politique, ni le même système ? Attention aux raccourcis ! Notre système bénéficie de technologies intéressantes, qui lui permettent d'évoluer en permanence. Je me souviens des discours élogieux des industriels sur la carte Vitale 2, lorsqu'il s'agissait de la vendre. Aujourd'hui, cette carte existe ; il faut continuer à la déployer, si possible rapidement, et activer ses fonctionnalités : s'agissant de la durée de validité de la carte, le dispositif est en cours de déploiement. Quant à la gestion des droits intégrés dans la carte, la mise à jour n'est plus valable que pour un an.
Je suis donc plutôt favorable à la consolidation du système actuel. J'ai cependant noté avec intérêt la suggestion de mettre en relation la gestion des droits sociaux avec le processus d'enrôlement de l'identité, avec un enrôlement principal très contrôlé et un processus secondaire.
Plus précisément, je suis prêt, en tant qu'opérateur technique, à étudier ce type de processus. Par ailleurs, cela ne signifie pas que la carte serait biométrique, mais que l'on pourrait tirer profit d'un système biométrique principal.
L'enjeu serait d'établir un lien entre le système régalien lié à la nouvelle carte d'identité électronique et le système de santé, de façon à ce que le second bénéficie de la sécurité du premier, sans qu'il soit nécessaire de créer un autre système biométrique.
À ce propos, je signale qu'il a été introduit dans la proposition de loi relative à la protection d'identité un article 5 ter prévoyant que des administrations habilitées puissent avoir accès à la vérification de l'identité pour leurs besoins propres, dans certains cas particuliers, notamment pour la délivrance de la carte Sesam-Vitale.
C'est une demande que nous formulions depuis longtemps ! Cela étant, restons prudents, car l'examen du texte en séance publique n'a pas encore débuté au Sénat.
Je trouve également intéressantes les solutions évoquées par M. Frédéric Massé concernant les analyses de données, les analyses statistiques et le forage de données. J'ignore comment elles pourraient s'articuler avec les outils actuels, mais cela permettrait de réfléchir à une distinction entre contrôle a priori et contrôle a posteriori.
Par exemple, sur les péages d'autoroute, on ne contrôle pas le code PIN de la carte bancaire, car il existe des systèmes de caméras de surveillance et des systèmes d'administration du système d'information qui permettent de réduire le taux de fraude. Dans ce cas, le contrôle a priori, léger, est couplé à un contrôle a posteriori bien plus sophistiqué.
Les deux dispositifs ne sont pas comparables : si l'on peut ne pas payer l'autoroute, une fraude organisée est inconcevable !
Quant à l'Allemagne, même si son système est technologiquement plus avancé, elle connaît actuellement les mêmes « errements » au démarrage et les mêmes problèmes politiques qu'a connus la France avec Sesam-Vitale.
Il s'agit d'une carte à microprocesseur mixte (contact et sans contact), avec un niveau de sécurité élevé et utilisant de la cryptographie – comme une carte Vitale 2, une carte IAS (Identification-Authentification-Signature) ou une carte d'identité électronique.
Non, il n'y a pas de reconnaissance biométrique. D'ailleurs, on peut se demander si le propriétaire d'une carte doit être nécessairement présent pour faire valoir ses droits. Quand on a 40° de fièvre, c'est souvent une autre personne qui va chercher les médicaments à la pharmacie !
Au Texas, cela marche très bien.
Techniquement, est-il possible de transmettre des données depuis l'étranger pour apporter la preuve que la personne à qui l'on verse des prestations est toujours en vie ? Je pense au cas des centenaires algériens.
Nous avons commencé à travailler sur la gestion de l'ensemble du cycle de vie d'une carte, au-delà de la prolongation spontané des droits par l'utilisateur. Un premier envoi signalant la nécessité de mettre à jour les droits pourrait être fait par courrier, avec la possibilité d'un retour avec la mention « N'habite pas à l'adresse indiquée ». Une grande partie de la population possédant aujourd'hui un téléphone portable, on pourrait également envoyer un message téléphonique, puis un courriel. Les assurés indiqueraient sur le site Ameli.fr leur adresse électronique et leur numéro de mobile pour recevoir l'alerte.
L'Agence nationale des titres sécurisés est en train de mettre en place la carte de séjour biométrique. À cet effet, l'ensemble des consulats et des ambassades à l'étranger vont être équipés de terminaux biométriques. Il ne serait donc pas difficile de mettre en place un contrôle biométrique à l'étranger.
En l'occurrence, il s'agirait de demander, en sus du certificat remis par les autorités locales, un document plus sécurisé. Le terminal biométrique serait confié soit à la représentation consulaire – mais cela soulève des difficultés –, soit aux autorités locales, soit à un médecin agréé, soit à un opérateur certifié.
Dans les pays où il y a de grandes distances à parcourir, on a conçu des terminaux mobiles, qui permettent de se rapprocher des demandeurs de titres de séjour et de faire du contrôle en déplacement de l'identité biométrique.
Le flux transfrontières de données personnelles est toujours très délicat. La biométrie peut être utile, mais elle n'apportera pas la preuve que la personne qui se présente est l'ayant droit ; elle permettra simplement de garantir qu'il n'y aura pas de substitution ultérieure.
En Afrique du Sud, des véhicules munis de distributeurs de billets biométriques passent dans les villages. Pour pouvoir toucher leur pension, les ayants droit présentent leur carte et donnent leur empreinte.
Le plus important est en effet de mettre à jour les fichiers centraux de l'assurance maladie. Sesam-Vitale a récemment mis au point un dispositif, installé dans mille hôpitaux et cliniques privées, qui permet de contrôler les droits en ligne, avec une simple pièce d'identité, sans qu'il soit nécessaire de présenter la carte de santé. Cela est possible parce que les hôpitaux disposent de services d'admission. Mais il faut que les fichiers centraux soient à jour.
Le ministère de la santé reconnaît que 4 % à 5 % des actes produits par les hôpitaux ne sont pas cotés…
La MECSS avait en effet mis en évidence ce point dans un précédent travail consacré au fonctionnement de l'hôpital.
S'agissant de votre suggestion de créer un organisme de contrôle central qui se substituerait à la Délégation nationale à la lutte contre la fraude, je ne suis pas sûr que cela permettrait de régler le problème. Multiplier les structures administratives est un travers bien français : nous excellons à rédiger des lois et des décrets d'application, alors que ce qui importe, c'est la mise en oeuvre opérationnelle.
Ainsi, à l'occasion d'une visite à un comité opérationnel départemental anti-fraude (CODAF), nous avons pu constater que la mutualisation de l'information était plutôt limitée : la fraude était évaluée par le comité à moins de 600 000 euros, alors qu'en rapportant le montant – déjà modique – de l'évaluation nationale au département, on aurait dû aboutir à une somme de 15 à 17 millions d'euros. Après vérification, il s'est avéré que, si l'on additionnait les données des différents systèmes assurantiels, le total était bien de 17 millions. Cela donne la mesure des progrès à faire !
S'agissant de l'hôpital, la mise en place de la tarification à l'activité (T2A) a débuté il y a huit ou neuf ans ; on estime qu'il faudra encore quatre ans pour l'achever. On aura donc mis treize ans pour imposer de la rigueur dans la gestion du patient et des séjours, alors que les Allemands ont fait la même chose en quatre ans ! Du point de vue strictement technique, identifier de façon unique un patient et un séjour à l'hôpital permettra de se prémunir contre un certain nombre de fraudes.
Existe-t-il des risques de piratage depuis l'étranger ?
Par ailleurs, la France éprouve de grandes difficultés à signer des conventions avec d'autres pays, non seulement dans le monde, mais également en Europe. Il faudrait parvenir à des systèmes mieux sécurisés !
Nous réalisons des tests anti-intrusion sur tous les systèmes mis à disposition par Sesam-Vitale. Nous bénéficions également de l'aide de l'Agence nationale de la sécurité des systèmes d'information. Il nous est arrivé de recevoir de nombreux virus sur certains dispositifs. Mais nous travaillons avec des prestataires qui ont la capacité d'apporter les corrections nécessaires.
La séance est levée à douze heures quarante.