All posts by Amandine Paralvas

np_Building Artificial Intelligence Concepts_41lAlg_free
Assurance

IA générative, allié ou ennemi contre la fraude ?

Prymak AlenaAlena Prymak
Consultante
Portrait Amandine     Amandine Paralvas
Consultante

Pendant la période estivale, les publications n’ont pas faibli autour de l’IA générative. Le potentiel de ces nouvelles technologies est vanté par les différents médias et présenté comme révolutionnaire et disruptif par les startups en créant un sentiment d’urgence. Nous avons orienté nos lectures et nos recherches sur l’utilisation de l’IA dans la lutte contre la fraude en assurance santé.

IA générative, de quoi parle-t-on et pour quoi faire ?

La CNIL définit l’IA comme « un procédé logique et automatisé reposant généralement sur un algorithme et en mesure de réaliser des tâches bien définies ».

Dans son plan relatif à l’IA publié en mai 2023*, elle décrit l’IA générative en tant que « système capable de créer du texte, des images ou d’autres contenus à partir d’une instruction d’un utilisateur humain. Ces systèmes produisent de nouveaux contenus à partir de données d’entraînement ».

Si les approches traditionnelles d’apprentissage automatique reposent sur des modèles logiques ou des modèles discriminatifs visant à automatiser ou classer, les nouveaux modèles génératifs apprennent de manière implicite à partir des données et peuvent accomplir des tâches variées sans être explicitement programmés pour chacune.

Afin de rendre les données générées encore plus pertinentes, notamment, pour la génération de textes, on parle souvent de cas d’usage de type « RAG » (Génération augmentée de récupération) qui permet en plus des données apprises pendant la phase d’entrainement, de contextualiser les données ou les rendre plus pertinentes. Le RAG, à titre d’exemple, permet au modèle de « consulter » une base de données ou un corpus de documents externes en temps réel pour enrichir sa génération de texte. Cette capacité de recherche améliore significativement la précision, la pertinence et la richesse du contenu généré.

L’IA générative n’est pas un outil, mais un concept, une idée, un modèle ou des modèles qu’il faut entrainer pour créer la solution dédiée à un cas d’usage donné. En réalité, nous retrouvons 3 approches complémentaires de mise en application d’un système d’IA :

  • L’approche symbolique s’appuyant sur des règles et des référentiels fournis par des experts pour créer des modèles logiques. Ils permettent notamment l’automatisation de tâches.
  • L’approche statistique reposant sur des ensembles de données afin de concevoir des modèles discriminants. Nous les retrouvons tout particulièrement dans les outils d’aide à la décision.
  • L’approche probabiliste se basant sur des suppositions et des probabilités pour créer des modèles génératifs. Ils s’appliquent sur des modèles de manipulation ou de création de contenu.

Et dans le domaine de l’assurance ?

Les technologies de l’IA générative permettent d’extraire les données significatives à partir d’une masse importante de données. Dans le secteur de l’assurance, les processus métier les plus à même de tirer parti de ces fonctionnalités sont la détection des fraudes, la relation client et la gestion de documents ou d’informations.

En matière de détection et de prévention des fraudes, l’IA est une arme à double tranchant. D’une part, on observe le perfectionnement de la fraude à travers les techniques de l’IA générative qui permet des avancées spectaculaires. D’autre part, les professionnels de la prévention de la fraude emploient depuis quelques années déjà des technologies dotées d’une IA pour détecter les activités frauduleuses. La lutte contre la fraude se transforme ainsi en un perpétuel champ de bataille dont le paysage évolue en permanence.

Jusqu’à aujourd’hui, les solutions de lutte contre la fraude permettaient de réaliser les tâches trop complexes et/ou chronophages. Pour détecter les cas de fraude, d’abus ou encore des erreurs, les experts métiers identifient les traitements pertinents à industrialiser permettant de croiser les données provenant de sources différentes afin d’obtenir les prédictions qui correspondent à des alertes de suspicion à confirmer par les métiers. Ainsi, les experts métiers travaillent main dans la main avec les équipes de Data scientists et des équipes informatiques d’automatisation / industrialisation de la production. L’expertise métier y est primordiale alors que les outils avec l’IA ou sans ont permis d’optimiser les schémas existants.

Les nouveaux modèles génératifs vont-ils imposer de nouvelles solutions beaucoup plus perfectionnées et identifier les nouveaux schémas de fraude ?
Capture d'écran 2024-10-02 162039

Nous avons eu le plaisir de nous entretenir avec Florence COURTET, Responsable Cellule maîtrise des coûts des risques chez Almerys, Christophe Ferrand, Directeur Général d’Actil afin de mieux comprendre les opportunités de l’IA dans la lutte contre la fraude et l’état de leur réflexion sur ce sujet sensible.

ALMERYS

ALMERYS est un opérateur de gestion de prestation santé en Tiers Payant. Il garantit la relation entre les professionnels de santé, les organismes d’assurance complémentaire et leurs bénéficiaires.

ALMERYS est actif dans le domaine de lutte contre la fraude depuis 2016. Avec une équipe dédiée, composée de data scientistes, d’experts métiers et des spécialistes de l’industrialisation, ALMERYS a développé la solution BE FRAUDE. Cette solution est un ensemble d’algorithmes intégrés dans son système d’information. Elle repose sur d’une part un socle métier comprenant des règles métiers et d’autre part, un enrichissement constant en données qui permettent la définition des parcours de soins, discipline par discipline.

Performante pour détecter des fraudes, des abus ou des erreurs, la solution BE FRAUDE a la capacité d’absorber une quantité massive de données, les rapprocher, les analyser et identifier les comportements déviants. Un expert de lutte contre la fraude pourrait le faire, mais le temps qu’il mettrait à croiser toutes ces données serait beaucoup plus long. Cependant, l’IA seule n’est rien, l’intervention métier est indispensable ! Si l’IA est un facilitateur, il ne remplacera pas l’expertise métier. Le croisement des données peut tendre vers une piste incohérente, mais seule une lecture humaine, permet d’expliquer la piste surtout dans le domaine de la santé. Selon Florence COURTET, l’IA seule pourrait même être dangereuse. Elle pourrait partir sur des raisonnements déviants, voire éthiquement incorrects. Il est donc indispensable de la réorienter vers l’objectif recherché : détecter les actes malveillants.

« Il y a un vrai phénomène d’accroissement de la fraude, des abus et des erreurs, en lien tout simplement avec la dématérialisation du parcours de soin. C’est facilitant pour l’assuré, le praticien mais aussi pour les déviances » comme le souligne Florence COURTET. Ces pratiques frauduleuses se partagent via les réseaux sociaux. Nous sommes face à des collectifs bien organisés. Le 100% Santé a accéléré ce phénomène. Certains professionnels y ont trouvé une opportunité de facturer davantage sans alerter le bénéficiaire. Dans ce contexte, ALMERYS a dû intensifier ses méthodes de détection, en étant plus performant, et en allant plus loin sur l’industrialisation de l’IA afin de détecter tous les schémas.

ACTIL

Actil, spécialiste de la gestion des réseaux de santé et du tiers payant utilise la solution fraude de Shift Technologies depuis 3 ans.

Concomitamment à la mise en route de la solution technologique Shift en 2021, Actil a mis en place le Service d’Investigation et d’Analyse (SIA) pour cibler les professionnels de santé fraudeurs et les erreurs dans les traitements.

Cette solution opérationnelle a permis de construire un cadre organisationnel et détecter avec les moyens humains dans un premier temps des suspicions de fraude et des erreurs.

Pour identifier la fraude à l’assurance santé, l’expertise métier est donc déterminante. La fraude et la faute à l’assurance santé sont des notions qui recouvrent une multitude de cas, impliquant une multitude de contrôles et de modèles. La masse d’informations à traiter rend ces contrôles extrêmement chronophages. C’est ainsi qu’en 2019, Actil a fait appel à Shift Technology et à sa solution de détection de fraudes en assurance santé, basée sur la détection de corrélations, capable de croiser des volumes de données importants et issues de sources variées, reposant sur le processus organisationnel défini en amont.

Nous pouvons parler de l’intelligence artificielle, lorsque le système apprend par lui-même et est capable d’identifier de nouveaux schémas de fraude à travers des analyses et des déductions proches de l’intelligence humaine, selon Christophe FERRAND. Aujourd’hui, les possibilités de calculs sont illimitées.

En 2021, la préoccupation centrale pour Actil dont la spécificité est d’intervenir dans la gestion des flux et du tiers payant auprès des professionnels de santé était de détecter les suspicions de fraudes ou d’erreur a priori, donc avant le paiement. En effet, a posteriori la récupération des prestations frauduleuses déjà payées peut s’avérer couteuse et peu efficace.

« Aujourd’hui, on observe le perfectionnement de la fraude, souligne Christophe FERRAND. La mise en place de la solution Shift il y a trois ans nous a permis d’assainir notre écosystème avec les professionnels de santé ».

Concernant le développement des modèles génératifs, le potentiel de ces solutions est probablement du côté de l’IA prédictive, capable d’anticiper les cas de fraude, ou encore de solutions combinant les outils fraude tiers payants avec les outils de fraude documentaires. La prise en compte de moyens de paiements ou d’autres éléments tangibles de traçabilité utilisés constitue également un axe intéressant.

Conclusion

Lorsque nous faisons recours aux technologies de l’intelligence artificielle pour la détection et la prévention des fraudes, nous devons comprendre qu’une solution efficace de prévention des fraudes ne se limite pas à la technologie utilisée. Elle nécessite un véritable cadre organisationnel formant un écosystème de prévention des fraudes dans son ensemble. Parmi ses différents aspects, nous pouvons mentionner, entre autres, la formation, l’expertise métier et l’analyse des données. L’IA ne remplace pas les professionnels. Elle ajoute plutôt une corde à leur arc d’expert et agit sur la qualité de la solution apportée.

L’IA générative apportera des opportunités dans la chaine de traitement avec la mise en œuvre de nouveaux schémas, accompagnée d’une approche prédictive.

Capture d'écran 2024-10-03 134647

Le recours à l’IA soulève également des problématiques liées à la dépendance des startups spécialisées dans l’IA up ainsi que les risques associés à la gestion des données hautement stratégiques.

Nous suivrons de près l’actualité sur l’IA et la lutte contre la fraude avec notamment la journée évènement « Lutte contre la fraude » du 3 octobre.

 

Sources

*CNIL (mai 2023) Intelligence artificielle : le plan d’action de la CNIL | CNIL

Capture d'écran 2024-07-11 151534
Assurance, Réglementaire

État des lieux de la Réforme 100% Santé

Portrait Amandine
Amandine Paralvas
Consultante

 

Bilan intermédiaire de la Réforme 100% Santé

La réforme 100% Santé a été déployée progressivement entre 2019 et 2021. Elle a établi des remboursements sans reste à charge pour les Français, titulaires d’une mutuelle santé, en audiologie, dentaire et optique. Il s’agit des 3 secteurs avec des dépenses de soins particulièrement importantes et avec un fort renoncement aux soins.

Capture d'écran 2024-07-10 173239

Cette réforme a pour objectif d’améliorer l’accès aux soins des Français grâce à la mise en place du panier de soins « reste à charge zéro ».

Les professionnels de santé ont été tenus et le sont toujours, de proposer des équipements remboursés intégralement, pour toute personne ayant souscrit un contrat santé responsable ou pour les bénéficiaires de la Complémentaire Santé Solidaire (CSS). Chaque entreprise s’est aussi assurée que la couverture souscrite pour leurs salariés respectait bien ces nouvelles obligations, tout en maintenant les critères additionnels fixés notamment par les accords de branche collectifs.

Les équipements et les prestations 100% Santé répondent à des cahiers des charges stricts, visant à garantir la qualité des équipements et à couvrir les besoins essentiels des assurés. La réforme a défini, dans chacun des secteurs, des prestations à prix plafonnés pour être intégralement pris en charge par l’assurance maladie obligatoire (AMO) et les organismes complémentaires (les assureurs, mutuelles, les institutions de prévoyance…).

Un panier à prix libre cohabite avec le panier 100 % santé dans les 3 secteurs. Pour compenser le financement des paniers de soins 100% santé, l’AMO et les organismes complémentaires ont réduit le niveau de prise en charge des paniers à prix libre. Par exemple, le remboursement des montures par les contrats santé responsables a été plafonné à 100 €, contre 150 € avant la réforme. Pour les prothèses dentaires, un panier intermédiaire à « reste à charge modéré » a été défini.

Capture d'écran 2024-07-10 173822Les prestations 100% Santé en audiologie, dentaire et optique

Des bons résultats en dentaire et sur les prothèses auditives

Olivier VERAN, ministre des Solidarités et de la Santé, avait déclaré en janvier 2022 : « le 100% santé est tout à la fois une réforme de santé, de prévention, de lutte contre la perte d’autonomie, de pouvoir d’achat et de lutte contre la précarité. Et c’est aussi un succès : 10 millions de Français en ont d’ores et déjà bénéficié et je souhaite que cette offre se pérennise et continue de s’adapter aux besoins de santé de nos concitoyens ».

Dans son rapport « Les dépenses de santé en 2021 », la Direction de la recherche, des études, de l’évaluation et des statistiques (DRESS) affiche un bond de 60% en 2021 sur les dépenses en audioprothèses, essentiellement portées par le panier 100% santé. Ce qui représente une augmentation moyenne de 4,9% entre 2011 et 2020.  Les audioprothèses au tarif libre ont aussi bénéficié de cette dynamique en enregistrant une hausse de 27%. Après l’année 2021 exceptionnelle, les chiffres de la DRESS pour l’année 2022 montrent un léger recul -4,5% pour les équipements 100 % santé et -1,8 % pour le panier à tarif libre. De son côté, l’Assurance Maladie dans son rapport « Lutte contre les fraudes », met en avant qu’entre 2019 et 2023, la réforme 100% Santé a entrainé une augmentation de 72% du nombre de patients bénéficiant annuellement du remboursement d’une aide auditive. Ce sont ainsi près de 767 000 personnes qui ont été équipés pour l’année 2023.

Tout comme en audiologie, les dépenses en dentaire ont augmenté de 26% en 2021 selon l’étude de la DRESS sur les dépenses de santé. Les prothèses dentaires 100% Santé représentent 43% des dépenses totales alors que le panier intermédiaire à « reste à charge modéré » se fixe à 28% et que le panier à tarif libre tombe à 29%. En 2022, les 3 paniers de soins enregistrent un très faible gain : +0,8% pour le panier 100 % Santé, +0,6% pour les 2 autres paniers à tarif modéré et à tarif libre. Les assurés âgés de 75 ans et plus sont les premiers bénéficiaires de la réforme du 100% Santé. Ils représentent 24 % de la consommation de prothèses dentaires 100% Santé.

Le secteur optique en retard

Les dispositifs 100% Santé en optique restent minoritaires. En 2021 le rapport de la DRESS sur l’optique présente une augmentation de 16% par rapport à 2020, mais cette hausse est concentrée sur le panier à tarif libre. En 2022, le panier 100% Santé progresse de 7,4% tandis que le panier à tarif libre recul de 0,8%. L’amélioration du panier 100% Santé est porté par les équipements optiques des enfants moins de 15 ans. En effet, il représente 13 % des dépenses d’équipements, contre 7 % de la dépense d’équipements à tarif libre.

Ce faible recours aux équipements 100% Santé s’explique par le fait que des offres avec « reste à charge zéro » existaient déjà avec les contrats responsables ou les contrats CSS. La réforme a introduit une nouvelle gamme de produits, à des prix bien inférieurs aux équipements vendus jusqu’alors. Ce panier de soins peine à trouver son public. Les assurés semblent être attachés aux caractéristiques esthétiques des équipements en optique.

Zoom sur les restes à charge

Pour les assurés bénéficiant d’une complémentaire santé, la réforme 100% Santé a permis de diminuer un reste à charge élevé dans les 3 secteurs. La réforme repose sur 3 piliers :

  • La mise en place de prix plafonnés ;
  • La revalorisation de la base de remboursement de la Sécurité sociale ;
  • L’obligation pour les contrats santé dits responsables de prendre en charge l’intégralité des paniers 100% Santé.

En janvier 2022, l’Union Nationale des organismes d’assurance maladie complémentaire – Unocam montre une baisse moyenne des restes à charge de 29 % dans le secteur dentaire et de 40 % en audiologie. Cela se traduit par une baisse de 75€ par bénéficiaire pour les prothèses dentaires et une baisse de 282€ par bénéficiaire pour les appareils auditifs. L’Unocam présente en revanche une augmentation de 13 % dans le secteur optique, soit une hausse de 40€ par équipement. Cette hausse s’explique par l’augmentation du panier à prix libre qui est moins bien remboursé par l’AMO et les organismes complémentaires alors qu’il reste majoritaire.

Les différents rapports et bilans avancent que les coûts générés par la réforme 100% Santé sont majoritairement supportés par les organismes complémentaires. Dans son dernier rapport « Les dépenses de santé en 2022 », la DRESS apporte la vision d’un cofinancement des équipements optiques du panier 100% Santé par l’AMO (53 %) et les organismes complémentaires (47 %).

 

Capture d'écran 2024-07-10 174338Mais sur le panier à prix libre, les organismes complémentaires prennent en charge 73% des dépenses (montures et verres) des assurés, contre 3% pour l’AMO. Les assurés supportent en complément 24% des frais.

Capture d'écran 2024-07-10 175248

En audiologie, le financement est partagé par les organismes complémentaires (42%) et les assurés (36%). L’AMO ne contribue qu’à la hauteur de 22%.

Capture d’écran 2024-07-10 175657

Et enfin sur le secteur dentaire, le constat est identique. Les organismes complémentaires financent plus de la moitié de la consommation des 3 paniers de soins (57%). Sur le panier 100% Santé, la participation des organismes complémentaires monte à 71% contre 29% pour l’AMO.

Capture d'écran 2024-07-10 175834

Des conséquences opérationnelles pour les organismes complémentaires

Pour être au rendez-vous des dates clés de déploiement de la réforme 100% Santé, 1er janvier 2019, 1er avril 2019, 1er janvier 2020 et 1er janvier 2021, les directions marketing ont retravaillé leurs gammes de produits santé pour répondre aux cahiers des charges stricts des paniers 100% Santé, tout en redéfinissant les logiques de montée en gamme des garanties. Cette redéfinition des offres et des gammes a entrainé d’importants travaux de tarification pour les directions techniques.

En parallèle, les directions des systèmes d’informations et les directions de Gestion ont œuvré conjointement sur la refonte des parcours de vente, la mise à jour des outils d’aide à la vente, l’implémentation des nouvelles grilles de tarifs dans les outils de tarification, l’actualisation des grilles de garanties et des exemples de remboursements, mais aussi sur le paramétrage des nouvelles offres dans les outils back office.

La réforme 100% Santé a imposé une standardisation des garanties, limitant la différenciation des produits entre les organismes complémentaires. Quelques nouveautés ont été déployées comme le développement et la valorisation de services complémentaires avec les réseaux de soins, des services innovants tels que la téléconsultation et la mise en avant de programme de prévention.

En somme, toutes les directions se sont mobilisées pour mettre à disposition des offres conformes dans un calendrier réglementaire cadencé.

Derrière ces bons résultats en audiologie, une fraude majeure stoppée en 2023

L’augmentation du nombre de patients équipés, s’est accompagné dans le même temps d’une augmentation très forte des installations d’audioprothésistes. Dans ce contexte, l’Assurance Maladie a déployé des contrôles auprès des assurés appareillés et des centres d’audioprothèses, et a vérifié un grand nombre de factures avant règlement.

Ainsi les actions de lutte contre les fraudes menées en 2023 par l’Assurance Maladie présentent un bilan positif. Concernant les audioprothésistes, les actions ciblées de l’Assurance Maladie ont permis de détecter un peu plus de 21 millions d’euros de fraudes. Les audioprothésistes tiennent la 6e place des professions les plus frauduleuses pour l’année 2023. Au global ce sont près de 466 millions d’euros de fraudes qui ont été détectées et stoppées, un montant dépassant grandement l’objectif global fixé à 380 millions d’euros.

Un déploiement de la réforme qui reste à renforcer

Le tiers payant généralisé est partiellement appliqué depuis la mise en application de la réforme 100% Santé en 2019. La loi de financement de la sécurité sociale pour 2021 à réaffirmer le caractère obligatoire, à compter du 1er janvier 2022, de la pratique du tiers payant intégral sur les paniers 100% Santé par les organismes complémentaires. Dans son rapport « La réforme du 100 % Santé » en juillet 2022, la Cour des comptes a fait remonter plusieurs natures d’obstacles quant au déploiement du tiers payant. Il s’agit de freins techniques et organisationnels. Chaque organisme complémentaire applique sa propre procédure (démarche, délais…) contrairement à la liaison avec l’AMO qui est unique. Les professionnels de santé et notamment les dentistes et les audioprothésistes devraient suivre autant de procédés que d’organismes complémentaires. Ils acceptent de réaliser le tiers payant sur la part remboursée par l’AMO, mais ils sont bien moins nombreux à pratiquer le tiers payant intégral. La piste à privilégier est l’interlocuteur unique ou des échanges centralisés. Dans le secteur de l’optique, la problématique est moins marquée parce que les réseaux de soins sont connus et reconnus. Des négociations sont en cours et pourraient aboutir pour les soins dentaires. Le tiers payant généralisé pourrait donner un nouvel élan à la réforme 100% Santé. Le zéro reste à charge est acquis, et l’absence d’avance de frais serait une force !

Les changements en 2024

Début 2023, le ministre de la Santé François Braun avait annoncé vouloir poursuivre avec l’étape 2 du 100 % Santé. De nouveaux postes pourraient être intégrés au dispositif 100% Santé en 2024 :

  • L’orthodontie ;
  • Les prothèses capillaires pour les personnes atteintes d’un cancer traitées par une chimiothérapie ;
  • Les fauteuils roulants.

Des réflexions porteraient aussi sur une amélioration des paniers optiques existants en incluant les lentilles et proposant une gamme plus large de montures et de verres correcteurs. Avec la nouvelle convention dentaire signée pour la période 2023 – 2028, une évolution du dispositif 100% Santé en dentaire se dessine. Les prothèses métalliques dites 100% santé vont être remplacées par des bridges et des couronnes en zircone, pour une meilleure qualité des soins et en réponse à une circulaire européenne.

Les organismes complémentaires restent mitigés sur les extensions au dispositif 100% Santé. S’ils se disent favorables à la prise en charge des prothèses capillaires, ils demandent une évaluation de la réforme dans le secteur dentaire et une étude d’impact sur l’ouverture aux fauteuils roulants.

Tous ces changements restent encore à être validés et précisés tant dans leur mise œuvre pratique qu’en terme de calendrier. Il sera essentiel de se tenir informé pour suivre les évolutions de la réforme 100% Santé.

 

Sources

*Communiqué de presse du Ministères des solidarités et de la santé, 25 janvier 2022

* Rapport d’information fait au nom de la commission des affaires sociales, sur l’enquête de la Cour des comptes sur la réforme du 100 % santé, 27 juillet 2022

*Dossier de presse de l’Assurance maladie « LUTTE CONTRE LES FRAUDES : Un montant record de fraudes détectées et stoppées en 2023, grâce à une mobilisation soutenue. Des priorités réaffirmées pour 2024. », 28 mars 2024

*Les dépenses de santé en 2021 Fiche 15 « Le 100% Santé », édition 2022 de la DREES

*Les dépenses de santé en 2022 Fiche 17 « Le 100% Santé », édition 2023 de la DREES

* Communiqué de presse « Réforme 100% Santé : l’UNOCAM publie son premier Baromètre 100% Santé », 20 janvier 2022

1
Assurance, Réglementaire

La Délégation de gestion, un modèle qui ne cesse de se développer

Portrait Amandine
Amandine Paralvas
Consultante

 

L’assurance de personnes est un domaine complexe, très règlementé (Solvabilité 2, LCB-FT – Lutte contre le blanchiment des capitaux et le financement des terrorismes, RGPD – Règlement général sur la protection des données, DDA – Directive Distribution en Assurance…) et fortement concurrentiel à l’heure de la Résiliation Infra annuelle (RIA).

L’externalisation de la gestion des contrats d’assurance santé et prévoyance est de plus en plus une réponse aux évolutions règlementaires, leurs calendriers et les coûts de mise en œuvre.

La délégation de gestion, c’est…

L’externalisation d’une activité de l’entreprise d’assurance, le Porteur de Risques, vers un prestataire de services, le Délégataire de gestion. La délégation de gestion est une forme de sous-traitance.

Le Porteur de Risques est un assureur, une mutuelle ou une institution de prévoyance, qui prend en charge les risques d’un particulier ou d’une entreprise en échange d’une cotisation.

Le Délégataire de Gestion est un partenaire privilégié du Porteur de Risques, qui prend en charge tout ou partie du cycle de vie des contrats Santé et des contrats Prévoyance :

  • Souscriptions,
  • Encaissement et suivi des cotisations,
  • Gestion et paiement des soins en santé,
  • Gestion et paiement de certains sinistres en prévoyance (l’incapacité et le décès ne sont pas toujours délégués

La délégation de gestion est un modèle, qui demande un suivi régulier et un contrôle permanent

Le code des assurances, article L. 354-3, prévoit que les Porteurs de Risques « conservent l’entière responsabilité du respect des obligations qui leur incombent lorsqu’elles recourent à l’externalisation des fonctions ou des activités d’assurance ».

Le transfert du processus de gestion à un délégataire n’entraine pas le transfert du risque associé. L’assureur reste le « porteur de risques » et par conséquent le responsable des activités.

Toutefois, la loi ne précise pas clairement les moyens exacts à mettre en œuvre pour opérer ces contrôles.

La maîtrise de la relation entre l’assureur porteur du risque et le délégataire de gestion est un atout pour assurer ce suivi 

La relation entre l’assureur et le délégataire de gestion est une relation d’affaires. Elle s’appuie sur la signature d’une convention de délégation de gestion et le contrôle de son application via des audits réguliers.

Le porteur de risque doit se donner les moyens tout au long de la vie de la convention pour suivre les activités déléguées tout en restant conforme à la législation en vigueur.

Le contrôle interne du délégataire et les audits de l’assureur sont des éléments clés de la convention de délégation de gestion

Des données échangées entre le délégataire de gestion et le porteur de risques avec des garanties de qualité et de traçabilité

La qualité des systèmes d’informations du délégataire de gestion et de l’assureur pour émettre et recevoir les données de activités déléguées soutient la maitrise de la relation.

Des données de qualité et fiables sont des données :

  • Suffisantes (niveau de détail adapté) et exactes (précises et exhaustives),
  • Disponibles (délai raisonnable) et accessibles (en fonction des habilitations,
  • Actualisées,
  • Vérifiables (fiables et tracées),
  • Sécurisées,
  • Archivées (respect de la durée de conservation des données).

Le flux de données techniques et financières (flux de cotisations, flux sinistres santé et prévoyance…) émis mensuellement ou trimestriellement par le délégataire de gestion doit répondre aux besoins de reporting du porteur de risques.

Les données émises, sont alors intégrées par le porteur de risque pour les valider au regard de son système d’information, ses règles de gestion et contrôles définis.

L’application de la norme PRDG permet de faciliter ces échanges. Elle s’appuie sur des critères importants de fiabilité des données et de connaissances du portefeuille délégué.

Le délégataire de gestion met en place un dispositif de contrôle modulable et à la hauteur des exigences du porteur de risques

Le délégataire de gestion répond avec son dispositif de contrôle aux demandes de l’assureur.

Les contrôles portent sur :

  • Des aspects techniques, tel que les processus de souscription et affiliation, les cotisations individuelles et collectives, les prestations Santé et Prévoyance…
  • Des aspects organisationnels et informatiques avec la mise à disposition des procédures de gestion formalisées, le plan de continuité d’activité intégrant le plan de reprise d’activité informatique ;
  • Mais aussi sur des obligations réglementaires : LCB-FT, DDA, RGPD…

Il s’agit de :

  • Contrôles unitaires sur des actes de gestion ;
  • Contrôles de masse réalisés à partir de fichiers transmis (contrôles de cohérence, contrôles de conformité, contrôles d’exactitude)
  • Contrôles statistiques (indicateurs de performance : consommation, respect des délais de traitement des prestations, de versement des cotisations…).

Ils sont réalisés :

  • Pour répondre à des objectifs donnés ;
  • Sur place, à distance, sur pièces, sur la base d’un échantillonnage ;
  • Par des opérationnels métier, par des experts (direction technique, direction finance…) ;
  • A fréquence définie, à fréquence régulière ;
  • En cohérence avec les tests effectués par le délégataire de gestion.

Les résultats sont partagés et remontés aux instances décisionnaires et opérationnelles entre le porteur de risques et le délégataire de gestion.

L’audit interne du porteur de risque est le dernier niveau de contrôle

L’audit interne évalue de manière indépendante et objective l’ensemble des activités du délégataire de gestion.

L’audit interne du porteur de risque juge la conformité et l’efficience des activités entre l’assureur et le délégataire de gestion.

Pour évaluer l’efficacité de la délégation de gestion, l’audit interne s’assure que :

  • Le périmètre de contrôles effectué par les opérationnels et les experts couvre les risques confiés au délégataire de gestion ;
  • La fréquence et la nature des contrôles sont adaptées au portefeuille confié ;
  • Les contrôles effectués sont tracés dans un plan d’amélioration continue. Les points forts du délégataire de gestion pourront faire l’objet d’un allégement de contrôle alors que les points faibles seront davantage ciblés et suivis.

Du fait de la diversité des modèles de délégation de gestion, il est fondamental de mettre en place une relation de confiance et pérenne, et définir le bon dispositif de contrôle.

Porteurs de risques, êtes-vous structurés et outillés, pour établir une relation équilibrée et efficace avec vos délégataires de gestion ?

Les consultants d’ALB Conseil peuvent vous accompagner sur ce diagnostic et la mise en œuvre des plans de contrôles.

Contactez nous ! 

 

RGPD_header
Réglementaire

Le Règlement Général sur la Protection des Données : 4 ans après, quel bilan ?

Amandine Paralvas
Consultante

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Il encadre l’accès et l’utilisation des données à caractère personnel et s’applique à l’ensemble des résidents de l’Union européenne. Son adaptation au droit français par le décret n° 2019-536 complète la loi « Informatique et Libertés » et permet aux Français de mieux contrôler leur vie privée numérique. Il fixe un cadre unifié et exigeant pour l’ensemble des entreprises et organisations hexagonales, quels que soient leur taille et leur secteur d’activité.

4 ans de mise en conformité : de nombreuses sanctions ont été infligées en France…

Les entreprises et organisations ont engagé massivement des actions de mise en conformité au RGPD. Celles-ci ont surtout été motivées par la peur d’être sanctionné par la Commission Nationale de l’Informatique et des Libertés (CNIL), comme le révèle le baromètre RGPD publié par l’entreprise Data Legal Drive en partenariat avec Lefebvre Dalloz et l’Association Française des Juristes d’Entreprise.

L’année 2021 a représenté un record dans le nombre d’actions répressives menées par la CNIL :

  • 14 143 plaintes ont été reçues, dont 12 522 ont été clôturées
  • 384 contrôles ont été effectués
  • 18 sanctions et 135 mises en demeure ont été prononcées
  • Le total cumulé des amendes s’élève à plus de 214 millions d’euros

Les sanctions et les mises en demeure ont principalement porté sur le défaut d’information des personnes, les durées de conservation excessives des données mais aussi la gestion des cookies et l’utilisation des traceurs.

En 2022, la CNIL a prononcé une amende inégalée de 60 millions d’euros à l’encontre de Microsoft Ireland Operations Limited. Elle a notamment condamné les conditions abusives du dépôt de cookies sur le site www.bing.com. En effet, à la suite d’une plainte, la CNIL a enquêté et a constaté que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son ordinateur sans son consentement. Ces cookies poursuivaient un objectif publicitaire. La CNIL a ainsi justifié le montant de l’amende par l’ampleur du traitement, le nombre très élevé de personnes concernées et les gains publicitaires en résultant.

… et en Europe

Selon le cabinet CMS Francis Lefebvre, qui répertorie toutes les amendes rendues publiques, la CNIL et ses équivalents européens ont prononcé 438 sanctions pécuniaires pour infraction au RGPD, soit un montant total de plus de 830 millions d’euros. Ainsi, l’Union européenne joue un rôle pionnier sur la scène mondiale en matière de protection des données personnelles et de vie privée.

Sur la première marche du podium, l’Irlande et sa capitale Dublin, qui héberge le siège européen de nombreuses entreprises américaines de la Big Tech, a reçu un montant cumulé s’élevant à 687 millions d’euros. Parmi les autres entreprises visées se trouvent le groupe Meta (maison-mère de Facebook et d’Instagram) et Clearview, spécialisée dans l’intelligence artificielle et la reconnaissance faciale.

Arrivent ensuite la Grèce et la France avec respectivement 29 millions et 25 millions d’euros. Les entreprises françaises concernées sont de tailles et de formes juridiques diverses et incluent même des médecins libéraux.

Des actions concrètes en faveur du RGPD

La mise en conformité au RGPD des entreprises françaises progresse tout en s’inscrivant dans une démarche transverse et pérenne, comme le révèlent les résultats du sondage de Data Legal Drive :

  • Plus d’une entreprise sur 2 estiment avoir un niveau de conformité avancé, situé entre 50 % et 80 %.
  • 6 entreprises sur 10 ont entrepris des mesures de sécurités conformes à l’article 32 du RGPD. Les cyberattaques étant de plus en plus nombreuses, il est primordial de relever le niveau de sécurité des sites web.
  • Près de 67 % d’entre elles ont intégré une Consent Management Platform (CMP) à leur site web pour gérer la validation des cookies. Cette progression s’explique par les nouvelles directives de la CNIL qui ont exigé le recueil du consentement des internautes.
  • 40 % des sondés utilisant Google Analytics pour analyser l’activité de leur site web souhaitent migrer vers une solution alternative validée par la CNIL. 25 % persistent à utiliser Google en ajustant leurs paramétrages pour être conforme au RGPD.
  • 30 % des répondants ont digitalisé leur registre de traitement des données, notamment dans les secteurs du droit et de l’industrie. Toutes les entreprises du secteur Banque / Assurance participant à l’étude ont engagé la digitalisation de leur registre de traitement.

Les Délégués à la Protection des Données (DPO), des chefs d’orchestre avec peu de moyens

Ce constat est confirmé par l’enquête du cabinet Grant Thornton auprès de 125 DPO internes et externes. Depuis 2018, le rattachement des DPO a évolué au sein des organisations, passant de la Direction des Systèmes d’information ou la Direction Juridique à la Direction des Risques / Audit / Contrôle Interne, voire à la Direction Générale. Ce repositionnement démontre que la gouvernance des données n’est plus seulement un sujet informatique mais bien un sujet d’entreprise global.

Néanmoins, les moyens financiers stagnent depuis 2018. 55 % des DPO sondés les trouvent même insuffisants. En effet, le rattachement du DPO à une direction donnée joue fortement sur le budget alloué. L’intégration aux nouvelles directions permet certes une visibilité accrue mais s’accompagne fréquemment d’un budget limité ne répondant pas à l’intégralité des besoins. Il semblerait que les directions générales valident plus facilement les budgets après avoir reçu une sanction de la CNIL…

En 2018, les DPO s’appuyaient sur des ressources externes, mais ce n’est plus vraiment le cas en 2022. 66 % des répondants ont internalisé ses ressources au sein d’une équipe dédiée ou d’un réseau de correspondants. L’enjeu majeur du DPO est de coordonner toutes ces ressources et de les sensibiliser en continu à la protection des données dans leurs activités quotidiennes. L’objectif semble être rempli, puisque 65 % des DPO répondants sont avertis immédiatement d’une demande d’exercice de droits et 53 % d’une violation de données personnelles.

En revanche, le contrôle de la mise en œuvre du RGPD mériterait d’être amélioré. En effet, il n’existe pas de cadre unifié pour examiner les outils mis en œuvre et les procédures déployées. Ainsi, 26 % déclarent réaliser des audits ciblés et réguliers et 42 % optent pour un audit annuel réalisé soit par les équipes internes (DPO, audit ou contrôle interne), soit par un cabinet externe (cabinet d’avocats, cabinet de conseil, etc.). Enfin, 15 % ne réalisent aucun contrôle de conformité.

La gestion des tiers, un sujet en souffrance

Le traitement des données entre un responsable de traitement et un sous-traitant doit respecter le RGPD et être encadré par un contrat comprenant des clauses obligatoires. Passé le stade du recensement des contrats de l’entreprise, il convient de les contrôler et de les réviser en cas de manquement. Cette tâche est chronophage et demande des connaissances techniques et juridiques. Elle ne semble pas être priorisée dans les entreprises puisque 58 % des DPO pensent ne pas être en conformité sur ce point.

La contractualisation n’est pas la seule difficulté dans la relation avec les tiers. Le contrôle des partenaires laisse aussi à désirer. Le questionnaire de conformité est l’outil majoritairement utilisé à cet effet mais il n’est pas perçu comme efficient par 43 % des DPO. C’est pourquoi ils cherchent des solutions externalisées telles que l’audit annuel par un tiers externe ou des plateformes de type « tiers de confiance ». Ce sujet devrait progresser en 2023 avec la mise en place de la certification RGPD validée le 11 octobre 2022 par le Comité Européen de Protection des Données. Cette certification constitue le seul référentiel permettant à une organisation de faire reconnaître un niveau de conformité opposable au sens du RGPD par un tiers de confiance : l’autorité de certification ou l’autorité nationale de protection des données.

L’arrêt “Schrems II” : une relation heurtée avec les tiers situés hors de l’Union européenne

Les responsables de traitement comme les sous-traitants doivent évaluer les conditions encadrant les transferts de données et mettre en place les mesures adaptées pour garantir une protection équivalente à celle de l’Union européenne. Les Clauses Contractuelles Types (CCT) sont des modèles de contrats de transfert de données personnelles validées par la Commission européenne. Elles ont été mises à jour le 4 juin 2021 à la suite de l’invalidation par l’arrêt « Schrems II » le 16 juillet 2020 du Privacy Shield, le protocole de transfert de données entre l’Union européenne et les États-Unis en vigueur jusque-là. Les nouvelles CCT remplacent les précédentes qui dataient de 2001 et avaient été amendées en 2004, puis en 2010. Les responsables de traitement et les sous-traitants disposaient d’une période supplémentaire de 15 mois pour mettre à jour leurs CCT ou utiliser un autre outil de transfert.

Depuis le 27 décembre 2022, les anciennes CCT ne peuvent plus être utilisées. Or, selon le sondage de Data Legal Drive, seulement 38 % des répondants ont commencé le déploiement des nouvelles CCT. Les autres entreprises n’ont pas du tout lancé ce chantier, soit par manque de temps, soit par manque de connaissances. Elles expriment un réel besoin d’accompagnement sur ce sujet complexe.

Pour autant, de nombreux signaux sont encourageants quant à la prise de conscience et aux actions menées par les entreprises et les organisations françaises pour se mettre en conformité. Les DPO ont effectué un travail remarquable dans un contexte instable : la crise sanitaire, la digitalisation des méthodes de travail, le nombre accru des cyberattaques, les nouvelles recommandations de la CNIL, les nouvelles CCT… avec des budgets souvent limités au vu des travaux à accomplir. Cependant, il reste encore du chemin à parcourir sur la formation des salariés, les modalités de contrôles des outils et procédures internes, la contractualisation de la gestion des tiers et le contrôle des partenaires. Enfin, l’effacement des données excédant les durées de conservation dans les systèmes est loin d’être une réalité. De même, le chiffrement et l’encryptage des données, recommandés par la CNIL, souffrent d’un réel retard technologique en France alors même que la Direction générale des Finances publiques commence à l’imposer aux entreprises pour le dépôt de ses fichiers fiscaux. Un nouveau standard d’excellence à atteindre rapidement ?