L'échange de données est un sujet important. Nous agissons surtout auprès du secteur privé. Au niveau européen, le considérant 47 du règlement général sur la protection des données (RGPD) prévoit que les données personnelles puissent être traitées à des fins de prévention de la fraude. Mais au niveau national, la soft law varie d'un pays à l'autre. Certains États européens ont renforcé leur base légale de lutte contre la fraude, par exemple en l'intégrant dans le crime financier, comme les Britanniques, ou dans leur fonds de garantie national, comme les Polonais ; les Belges, eux, disposent de leur Banque Carrefour de la sécurité sociale (BCSS), instituée par une loi qui encadre le traitement des données servant d'abord à verser les prestations sociales et, de manière secondaire, à lutter contre la fraude.
Le fait qu'il soit légitime de lutter contre la fraude n'est aujourd'hui jamais remis en cause ; ce qui nous manque, c'est une base légale pour le faire, car la fraude elle-même n'est pas définie. Quand elle le sera, nous pourrons déterminer quels acteurs sont concernés et comment ils peuvent légalement échanger des informations. Quelques textes permettent l'échange de données, comme l'article L. 114-9 du code de la sécurité sociale qui autorise la sécurité sociale, sous certaines conditions, à prévenir les organismes complémentaires dès lors qu'existe une suspicion de fraude, mais ils ne sont pas mis en œuvre.
Par ailleurs, le renseignement ne se fait pas que du service public vers le secteur privé : nous avons des renseignements, mais nous ne savons pas toujours à qui les transmettre, ni comment. L'ALFA tient depuis longtemps un annuaire des organisations anti-fraude de chaque compagnie d'assurance, qui fonctionne bien ; au sein de cette communauté professionnelle – animée et renforcée par l'ALFA qui dispense des formations communes –, chacun a un rôle bien défini et sait qui contacter car, dès lors que l'on se connaît, on peut identifier l'interlocuteur adéquat et lui faire confiance. Le travail avec les organismes sociaux se fait par des relations ad hoc, à un niveau très local, mais il suffit qu'une personne parte à la retraite pour que la coopération s'arrête. Une base légale permettrait donc à tous les acteurs – y compris ceux du secteur public – de travailler plus efficacement, et de clarifier l'application du RGPD par rapport aux textes antérieurs.
Même s'il y en a d'autres, c'est cette absence de base légale qui constitue le principal frein à la communication entre les organismes ; il faut qu'il soit levé.