Dans un référé consacré à la lutte contre la fraude à l'identité bancaire dans le domaine de la protection sociale, la Cour des comptes constate que « la fraude par usurpation d'identité ou falsification de RIB progresse avec le développement des banques en ligne et néobanques », à tel point qu' « en quatre ans, les montants détectés de détournements de virements ont été multipliés par dix, pour atteindre 157 M€ en 2020 ».
Si les organismes de protection sociale « ont pris, souvent en urgence, diverses mesures destinées à prévenir les risques de détournement », la Cour déplore qu' « ils ne procèdent pas suffisamment à la mesure simple consistant à rapprocher systématiquement les coordonnées bancaires utilisées avec celles du fichier national des comptes bancaires et assimilés (Ficoba), grâce à des procédures automatisées ».
Une mesure que la Cour avait précisément appelé de ses voeux dans un précédent rapport sur la lutte contre les fraudes aux prestations sociales en septembre 2020.
La Cour relève à ce titre que la caisse nationale des industries électriques et gazières (Cnieg), la seule à avoir « systématisé ces rapprochements avant le paiement des prestations », a depuis « pu déjouer toutes les tentatives de détournement ».
« À l’inverse, aucun des autres organismes – caisses d’allocations familiales, caisses d’assurance maladie, caisses et autres organismes de retraite, Pôle emploi – n’a procédé au rapprochement de son stock de coordonnées bancaires avec le fichier Ficoba. »
La Cour reconnaît cela dit qu' « à l’heure actuelle et à l’exception de la Cnieg, les organismes de protection sociale n’accèdent à Ficoba qu’à travers un portail internet, pour de simples consultations unitaires manuelles », ce qui ne facilite guère les contrôles.
Ces derniers pourraient en outre s'avérer illégaux, le référé constatant en effet que « par ailleurs, la finalité consistant à s’assurer du caractère libératoire du paiement ne figure pas explicitement dans les motifs juridiques permettant la consultation des données de Ficoba ».
Ce qui ne réfrène guère la Cour, pour qui, « en pratique, ce n’est que par la mise en œuvre d’échanges automatisés et à large échelle entre les organismes de la sphère sociale et le système d’information de la direction générale des finances publiques (DGFiP) », responsable du Ficoba, que les rapprochements nécessaires des coordonnées bancaires utilisés par les organismes de protection sociale « pourront avoir un caractère systématique ».
Le référé rappelle à ce titre que l'automatisation de l'interrogation du Ficoba et la récupération des données d'identité bancaires par les organismes de protection sociale « a été arrêté il y a plus de dix ans », et que « les travaux techniques de spécification puis de développement ont débuté il y a sept ans » :
« Cependant, dix reports successifs de la date de mise en service des échanges sont intervenus entre 2018 et 2021. Ils ont souvent été annoncés très tardivement par la DGFiP. »
La Cour avait adressé son référé aux ministères chargés de la sécurité sociale, du travail et de l’emploi et de l’économie, ainsi qu'à l'ensemble des organismes nationaux de protection sociale, le 9 février. Ils disposaient de deux mois pour lui répondre, mais ne l'ont pas fait.
Dans sa rubrique « grands fichiers en fiches », la CNIL rappelle qu'en 2018, le Ficoba répertoriait « toutes les personnes, françaises ou non, qui disposent d'un compte bancaire ou assimilé en France », soit 80 millions de « personnes physiques enregistrées »,
Commentaires (28)
#1
Bravo la Cour des comptes qui déplore que la loi ne soit pas violée plus souvent !
Qu’en pense la CNIL ?
Je rappelle en plus que l’article 14 du RGPD dispose que :
Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
Suivent tout un tas d’informations à fournir.
Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2 :
a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;
b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou
c) s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
Ce qui oblige à la fois la DGFIP (au titre du c)) et l’organisme qui consulte le fichier FICOBA (au titre du a) ou b))
#1.1
De ce que je comprend de l’article il s’agit de vérifier si un compte est bien lié à la personne qui le prétend (ou si les infos sont authentique pour un RIB)
Si c’est bien ça ça ne ressemble pas a une collecte d’info mais plus à une vérification de celle fournit.
#1.2
Il est dit dans l’article :
“Ces derniers pourraient en outre s’avérer illégaux, le référé constatant en effet que « par ailleurs, la finalité consistant à s’assurer du caractère libératoire du paiement ne figure pas explicitement dans les motifs juridiques permettant la consultation des données de Ficoba ».”
En clair, ce cas n’est pas prévu comme légitime pour utiliser ce ficher. Il faut au minimum une modification des textes légaux pour qu’un tel traitement puisse être fait.
Je rappelle que le RGPD et la loi du 6 janvier 1978 s’occupent des traitements fait sur les données personnelles, la collecte n’étant qu’un des traitements possibles.
#2
J’ai une connaissance qui s’est fait usurpé son IBAN. Il a galéré pour s’en sortir.
Sa banque lui disait que les mandats SEPA étaient valides et qu’il fallait qu’il voit avec les sociétés pour les annuler.
Les sociétés lui répondaient qu’il n’était pas client chez eux et qu’ils ne pouvaient donc rien pour lui…
#2.1
Il ne peut pas bloquer les prélèvements frauduleux et demander leur remboursement ? L’espace client de ma banque me permet de le faire sans avoir à justifier, en précisant bien qu’il faut régler le litige avec la société dont le mandat est bloqué. Mais puisque ce n’est pas lui le client des entreprises qui ont émis le mandat, ce n’est pas vers lui qu’elles se retourneront en justice et ce n’est pas à lui de régler le litige.
Bien sûr ça ne règle pas le problème en cas d’utilisation frauduleuse ultérieure de ses coordonnées bancaires, pour ça il faudrait pouvoir changer son RIB et je ne sais pas si c’est possible.
#3
Alors juste pour info : qui peut consulter le Ficoba ?
Moi qui pensait que seuls les officiers ministériels pouvaient le faire pour recouvrer une créance, me voilà surpris !
N’importe quelle entreprise peut le consulter ? Un particulier aussi ? Quels sont “les motifs juridiques permettant la consultation des données de Ficoba” ?
#4
https://www.cnil.fr/fr/ficoba-fichier-national-des-comptes-bancaires-et-assimiles
Qui peut consulter ce fichier ?
Seules les personnes ou organismes habilités par la loi et bénéficiant, selon les conditions fixées par cette dernière, d’une levée du secret professionnel (article L.103 du livre des procédures fiscales), peuvent obtenir communication des données issues de ce fichier. Les principaux d’entre eux sont (cf. article 4 de l’arrêté du 14 juin 1982):
Les données FICOBA peuvent également être communiquées sur la base d’une décision judiciaire prévoyant expressément l’accès aux données de ce fichier :
#4.1
Ah bah merci infiniment pour la précision.
#5
C’est faux, les banques n’ont plus les mandats SEPA depuis plusieurs années, seules les sociétés qui prélèvent les ont (avant les 2 avaient une copie chacun). La banque ne peut donc pas objecter que le mandat est valide si son client lui dit que non, vu qu’elle ne les a pas pour le vérifier. Tout au plus peut-elle avoir une copie adressée par la société qui prélève, sans garantie de conformité, mais je doute que dans les faits ce soit le cas en l’absence de contestation.
La banque doit bloquer les prélèvements futurs sur simple demande du client, mandat valide ou non, sans discuter. Elle doit aussi sur sa demande lui rembourser les prélèvements passés, et ce immédiatement, et sans discuter ni demander le moindre justificatif (donc pas de reçu de dépôt de plainte par exemple, démarche facultative de toute façon). La loi est très claire là-dessus. A la moindre résistance ou délai, saisir immédiatement le médiateur bancaire dont la banque doit vous fournir les coordonnées (ou visible sur son site web).
Les remboursements portent sur les 8 dernières semaines pour les prélèvements autorisés, et 13 mois pour les non autorisés. Ce qui signifie que même si la banque considère (à tort) que le prélèvement était autorisé, tout ce qui a moins de 8 semaines est à rembourser immédiatement. Pour le reste, il faudra peut-être insister un peu plus pour que la banque accepte que ce n’était pas autorisé, mais je répète que la banque n’a pas les mandats pour le vérifier, elle n’a donc pas d’arguments à faire valoir.
Leur position est plus complexe vu qu’elles ont bien un mandat apparemment valide, elles ne vont pas forcément croire celui qui les contacte. Par contre ça a au moins le mérite de les informer du problème avant qu’elles le soient par la banque. Pour des entreprises comme les télécoms qui disposent d’un fichier partagé de mauvais payeur, ça peut éviter une inscription, source de problème auprès d’autres sociétés utilisant ce fichier. Pour les autres, pas indispensable de les informer.
#6
Entre ce que dit le référé et la possibilié que ce soit illégal, il y a quand même un sacré pas que personne ne franchira jamais, même si l’article le suggère.
La loi précise qui a accès au fichier, aucunement les raisons pour lesquels ceux autorisés à y accéder peuvent y accéder.
#6.1
Tu es allé lire les articles de loi avant d’affirmer cela ?
#6.2
Ceux qui sont sur légifrance, même s’ils ne sont pas reconnus comme “officiels”
#6.3
Rien dans ces articles ne permet de vérifier la véracité des informations d’un RIB dans le fichier ficoba, sauf si j’ai raté un point.
Ce n’est pas l’arrêté du 14 juin 1982 relatif à l’extension d’un système automatisé de gestion du fichier des comptes bancaires qui définit les cas où celui-ci peut être utilisé.
#6.4
Déjà, je pense que la fraude par usurpation d’identité consiste à utiliser un RIB au nom d’un “client” de l’un des organismes sociaux mais avec un IBAN qui ne lui correspond pas.
Comme il s’agit d’un “client”, l’organisme a déjà un certain nombre d’informations sur lui, nom, prénom, adresse, n° de SS, et probablement un ancien RIB, donc tout ce qui est présent sur la base FICOBA. Pour rappel, le RIB donne égalemet le nom et l’adresse de l’établissement, le nom et l’adresse du titulaire, et c’est forcément un compte courant (les virements vers un autre type de compte étant interdits)
Ensuite, il n’est jamais précisé si l’accès au fichier se fait en mode vérification ou consultation. Dans le cas présent, une vérification suffit, donc il n’y a pas d’accès à des données que le système n’a pas déjà.
Et l’article de loi que tu cites parle du recouvrement, et donc de la capacité de l’organisme social à vérifier que le “client” n’est pas artificiellement insolvable, ce qui évidemment nécessite beaucoup plus que ce qu’il y a dans la base FICOBA.
La fraude consiste plutôt à prendre de l’argent que tu aurais pu/du recevoir, donc la liste blanche ne sert à rien
#6.5
Autant pour moi.
#6.6
Comme on a très peu d’informations sur ces fraudes (sûrement histoire de ne pas donner d’idées à d’autres), on ne sait pas trop qui est le “client”.
J’ai l’impression que c’est une usurpation d’identité, donc un nouveau
clientbénéficiaire de prestation sociale. Il n’y a donc probablement pas d’ancien RIB. Pour rappel, tu peux changer d’organisme de sécurité sociale par exemple si tu passes du privé à indépendant, donc le nouvel organisme n’a aucune info sur la personne.Mais ce n’est pas important pour notre discussion. La Cour des comptes dit que vérifier dans le ficoba que le RIB correspond au nom du bénéficiaire suffit à arrêter ce type de fraude et je leur fais confiance sur ce point.
Cela n’empêche pas que la vérification du nom, dur NIR et du numéro de compte inscrit sur l’IBAN n’est pas aujourd’hui autorisé par la loi. J’ai pointé vers les articles du Livre des procédures fiscales qui auraient autorisé ce cas et comme déjà dit, je n’ai rien trouvé qui corresponde.
Et pour ce qui concerne le recouvrement, il s’agit de récupérer soit des cotisations dues soit de récupérer des prestations indûment versées. Dans ces 2 cas, les organismes de sécurité sociale ont le droit de consulter le fichier ficoba pour obtenir les informations sur les comptes bancaires et assimilés afin de faire faire des saisies. il ne s’agit pas de vérifier a priori la véracité d’un RIB comme le demande la Cour des comptes.
#6.7
Je pourrais aussi dire que l’article de loi que tu as cité autorise les organismes sociaux à obtenir les informations nominatives nécessaires au maintien des prestations, ce qui couvre le cas de la vérification de validité du RIB car il pourrait en résulter une interruption des prestations
Et c’est vrai, ce n’est pas le FISC, c’est l’URSSAF qui effectue les recouvrements
https://www.securite-sociale.fr/la-secu-cest-quoi/organisation/les-branches
#7
“falsification de RIB”
Je croyais que donner son RIB est sans danger, c’est en tout cas ce que ma banque m’a affirmé.
#8
Moi, j’ai activé la liste blanche: impossible de faire un prélèvement sur mon compte si je n’ai pas ajouté l’Identifiant de Créancier SEPA (ICS).
Cela m’a occasionné quelque couac au démarrage mais au moins personne ne peut prendre mes sous.
Et je supprime de la liste blanche dès que je n’utilise plus le service.
Ça m’évite le déboire d’EDF qui me prend des sous alors que je ne suis plus client chez eux depuis 2 ans.
Et j’essaie de faire virement automatique plutôt que des prélèvement. Souvent, le comptable de la boite me demande alors d’ajouter un identifiant client pour retrouver mes sous.
#9
Ca dépend de ce que tu appelles danger. Ca peut occasionner des démarches, mais la loi te garantit que tu récupéreras rapidement tes sous. Ainsi les banques sont poussées à faire preuve de vigilance pour rendre la tentative d’arnaque plus complexe et hasardeuse, ce qui diminue les chances que ça t’arrive.
#10
2022 et on est toujours pas foutu de s’assurer de pas envoyer deux fois la même prestation sociale sur des comptes possédés par la même personne. Comme toujours avec les projets du gouvernements, incapable de sortir quoi que ce soit. 10 ans d’attente c’est probablement que la moitié du chemin
#10.1
Pour l’attribution des prestations sociales, je pense qu’il est assez compliqué d’essayer de frauder pour les obtenir deux fois, sans passer par quelqu’un à l’intérieur.
Alors que la fraude ici est assez simple si tu as obtenu des informations sur la cible. Du coup, soit tu détournes les prestations, soit tu récupères celles des gens qui n’ont jamais fait les démarches pour les obtenir (et il y en a beaucoup). Dans ce dernier cas, les cibles ne s’en rendront peut-être même jamais compte, sauf s’ils perdent les droits et que l’organisme passe par le FISC pour un recouvrement. Et là, c’est le début des emmerdes, parce que le FISC, c’est paye d’abord, réclame ensuite.
#11
Les organismes en question se débrouillent sans le fisc pour le recouvrement. Ils passent par des huissiers et ont des armes redoutables : mise en demeure puis contrainte.
#12
Je suis un peu surpris, les ordres de virements contiennent le nom du destinataire renseigné par l’expéditeur, donc le virement ne devrait-il pas être rejeté par la banque réceptrice car le nom du destinataire de l’ordre de virement ne correspond pas au nom du titulaire réel du compte récepteur ?
#12.1
parmi les possibilités, on peut imaginer l’ouverture d’un compte dans une néo banque sous une fausse identité
#13
Oula, si, c’est même une des fraudes les plus courantes. Les CAF, les CNAM et tout un tas d’autres organismes sont géré au niveau régional et incapables de se parler entre eux.
#14
Oui, mais dans ce cas, la consultation de FICOBA ne fera que confirmer que le compte existe bien avec le titulaire attendu.
#15
De ce que je connais sur les fichiers de prélèvements SEPA il y a effectivement un certains nombre de champs à remplir et c’est assez précis (en plus des montants, identité on trouve aussi par exemple la date de mise en place du mandat, les date de signature….).
Mais en pratique (constaté après quelques bug de saisie ou de génération de fichier sur du dev) du moment que les comptes sources/destination, le format du fichiers, les montants et les sommes de contrôles sont correct ça peut passer même si les autres champs sont remplis de manière fantaisiste.
Bref ce n’est pas vérifié systématiquement, j’imagine que c’est conservé et contrôlé qu’en cas d’irrégularité/suspicions (avec une politique propre a chaque banque) ou de signalement.