Dans un référé consacré à la lutte contre la fraude à l'identité bancaire dans le domaine de la protection sociale, la Cour des comptes constate que « la fraude par usurpation d'identité ou falsification de RIB progresse avec le développement des banques en ligne et néobanques », à tel point qu' « en quatre ans, les montants détectés de détournements de virements ont été multipliés par dix, pour atteindre 157 M€ en 2020 ».

Si les organismes de protection sociale « ont pris, souvent en urgence, diverses mesures destinées à prévenir les risques de détournement », la Cour déplore qu' « ils ne procèdent pas suffisamment à la mesure simple consistant à rapprocher systématiquement les coordonnées bancaires utilisées avec celles du fichier national des comptes bancaires et assimilés (Ficoba), grâce à des procédures automatisées ».

Une mesure que la Cour avait précisément appelé de ses voeux dans un précédent rapport sur la lutte contre les fraudes aux prestations sociales en septembre 2020.

La Cour relève à ce titre que la caisse nationale des industries électriques et gazières (Cnieg), la seule à avoir « systématisé ces rapprochements avant le paiement des prestations », a depuis « pu déjouer toutes les tentatives de détournement ».

« À l’inverse, aucun des autres organismes – caisses d’allocations familiales, caisses d’assurance maladie, caisses et autres organismes de retraite, Pôle emploi – n’a procédé au rapprochement de son stock de coordonnées bancaires avec le fichier Ficoba. »

La Cour reconnaît cela dit qu' « à l’heure actuelle et à l’exception de la Cnieg, les organismes de protection sociale n’accèdent à Ficoba qu’à travers un portail internet, pour de simples consultations unitaires manuelles », ce qui ne facilite guère les contrôles.

Ces derniers pourraient en outre s'avérer illégaux, le référé constatant en effet que « par ailleurs, la finalité consistant à s’assurer du caractère libératoire du paiement ne figure pas explicitement dans les motifs juridiques permettant la consultation des données de Ficoba ».

Ce qui ne réfrène guère la Cour, pour qui, « en pratique, ce n’est que par la mise en œuvre d’échanges automatisés et à large échelle entre les organismes de la sphère sociale et le système d’information de la direction générale des finances publiques (DGFiP) », responsable du Ficoba, que les rapprochements nécessaires des coordonnées bancaires utilisés par les organismes de protection sociale « pourront avoir un caractère systématique ».

Le référé rappelle à ce titre que l'automatisation de l'interrogation du Ficoba et la récupération des données d'identité bancaires par les organismes de protection sociale « a été arrêté il y a plus de dix ans », et que « les travaux techniques de spécification puis de développement ont débuté il y a sept ans » :

« Cependant, dix reports successifs de la date de mise en service des échanges sont intervenus entre 2018 et 2021. Ils ont souvent été annoncés très tardivement par la DGFiP. »

La Cour avait adressé son référé aux ministères chargés de la sécurité sociale, du travail et de l’emploi et de l’économie, ainsi qu'à l'ensemble des organismes nationaux de protection sociale, le 9 février. Ils disposaient de deux mois pour lui répondre, mais ne l'ont pas fait.

Dans sa rubrique « grands fichiers en fiches », la CNIL rappelle qu'en 2018, le Ficoba répertoriait « toutes les personnes, françaises ou non, qui disposent d'un compte bancaire ou assimilé en France », soit 80 millions de « personnes physiques enregistrées »,