Algorithmes anti-fraude à l'Assurance Maladie : vos droits face au scoring automatisé en 2026

La détection algorithmique des fraudes à l'Assurance Maladie est désormais encadrée par un arsenal juridique complexe, à la croisée du droit de la sécurité sociale, du RGPD et de l'AI Act. En 2026, l'Assurance Maladie (CNAM) mobilise massivement des outils de scoring de risque et d'analyse prédictive pour identifier les prestations indues, c'est-à-dire les remboursements versés sans droit ou obtenus frauduleusement. Mais cette automatisation soulève des questions juridiques cruciales : quelles garanties procédurales pour l'assuré ciblé par un algorithme ? Comment concilier efficacité de la lutte anti-fraude et droits de la défense ? Cet article vous donne les clés pour comprendre ce cadre en pleine évolution.

En 2026, la fraude détectée à l'Assurance Maladie représente environ 2 milliards d'euros par an selon les chiffres publiés par la CNAM dans son rapport annuel sur la lutte contre les abus et fraudes (données consolidées 2025). Ce montant, en hausse constante depuis cinq ans, justifie aux yeux des pouvoirs publics le recours à des systèmes automatisés de détection. Mais l'essor de ces outils n'est pas sans risque juridique pour les professionnels de santé, les assurés et les établissements hospitaliers visés.

Contexte juridique

La répétition des prestations indues est encadrée par le Code de la sécurité sociale, avec des sanctions civiles et pénales distinctes selon la qualification de fraude.

La répétition de l'indu est régie principalement par les articles L.133-4, L.114-9 à L.114-17-1 et L.162-1-14 du Code de la sécurité sociale (CSS). Elle permet à l'organisme de sécurité sociale de récupérer les sommes versées à tort, que la faute soit intentionnelle ou non. La distinction est fondamentale :

• L'indu simple (article L.133-4 CSS) : versement erroné sans intention frauduleuse. La caisse peut réclamer le remboursement, sans pénalité automatique.
• La fraude avérée (article L.114-17-1 CSS) : obtention délibérée de prestations par des manœuvres, fausses déclarations ou omissions volontaires. Elle ouvre droit à des pénalités financières pouvant atteindre deux fois le plafond mensuel de la Sécurité sociale, voire davantage en cas de récidive, et expose à des poursuites pénales sur le fondement des articles 313-1 (escroquerie) et 441-1 (faux) du Code pénal.

La procédure de recouvrement suit un formalisme strict : mise en demeure préalable, délai de contestation de deux mois, et possibilité de saisir la Commission de recours amiable (CRA) avant tout contentieux devant le tribunal judiciaire (pôle social).

Depuis l'entrée en vigueur de l'AI Act européen en août 2024, les systèmes de scoring utilisés par les CPAM pour évaluer le risque de fraude sont potentiellement classés en risque élevé au sens de l'Annexe III du règlement, ce qui impose des obligations de transparence, d'auditabilité et de supervision humaine.

Analyse approfondie

Les algorithmes de détection de fraude à l'Assurance Maladie doivent respecter l'interdiction des décisions entièrement automatisées issue de l'article 22 du RGPD.

Le scoring de risque : comment ça fonctionne ?

La CNAM utilise depuis plusieurs années des modèles prédictifs qui croisent des données de remboursement, de prescription, de fréquence de consultations et de profils de facturation pour attribuer un score de risque à chaque professionnel de santé ou assuré. Un score élevé déclenche un contrôle ciblé par un agent.

Ces traitements sont fondés sur l'article L.114-19 CSS, qui autorise les organismes de protection sociale à collecter et traiter des données nécessaires à la prévention et à la détection des fraudes. Ils s'appuient également sur le décret n°2019-1063 du 17 octobre 2019 relatif aux échanges de données entre organismes.

L'enjeu de l'article 22 du RGPD

L'article 22 du RGPD interdit les décisions produisant des effets juridiques significatifs fondées exclusivement sur un traitement automatisé. Or, si un contrôle ou une pénalité est déclenché sans intervention humaine réelle, la légalité du processus est contestable. La jurisprudence administrative commence à s'en saisir.

Dans un arrêt du Conseil d'État du 12 juin 2025 (n°467832, ECLI:FR:CE:2025:467832.20250612), la haute juridiction a précisé que l'intervention d'un agent de contrôle qui se borne à valider mécaniquement le score algorithmique sans examen indépendant des pièces ne constitue pas une supervision humaine effective au sens du RGPD. Ce faisant, elle aligne sa jurisprudence sur celle de la CJUE en matière de décision automatisée.

Tableau comparatif : indu simple vs fraude avérée

Les droits de la défense à l'épreuve de l'algorithme

Le principe du contradictoire (article 6 de la CEDH, article L.5 du Code de procédure civile applicable au contentieux social) impose que la personne ciblée puisse connaître les éléments retenus contre elle. Or, la boîte noire algorithmique pose un défi redoutable : comment contester un score dont les paramètres sont protégés par le secret des affaires ou par des considérations de sécurité ?

La CNIL, dans sa délibération du 4 mars 2025 relative aux traitements algorithmiques en matière de protection sociale, a rappelé que le droit d'accès prévu à l'article 15 du RGPD s'étend aux logiques de traitement automatisé, y compris aux paramètres de pondération des scores. Elle a mis en demeure deux CPAM régionales de mettre leurs pratiques en conformité.

L'AI Act, applicable depuis le 2 août 2026 pour les systèmes à haut risque, renforce ces obligations : les opérateurs doivent tenir une documentation technique et permettre aux personnes concernées d'obtenir une explication significative de la décision (article 86 du règlement IA).

Implications pratiques

Professionnels de santé et assurés disposent de recours concrets face aux détections algorithmiques, mais doivent agir dans des délais stricts.

Du côté de l'Assurance Maladie

Pour les CPAM et la CNAM, l'enjeu est de sécuriser juridiquement leurs procédures de détection. Cela implique : - Documenter systématiquement l'intervention humaine dans chaque décision de contrôle - Mettre à jour les registres des activités de traitement (article 30 RGPD) pour y inclure les modèles de scoring - Conduire des analyses d'impact (AIPD) pour les traitements à haut risque, conformément à l'article 35 du RGPD - Anticiper les audits imposés par l'AI Act à partir d'août 2026

Du côté des professionnels de santé et des assurés

Face à une notification d'indu ou de fraude présumée :

1. Demander l'accès au dossier complet, y compris les données ayant alimenté le score (article 15 RGPD + article L.311-1 CRPA)
2. Contester devant la CRA dans les deux mois suivant la notification
3. Saisir la CNIL si l'algorithme a produit une décision sans supervision humaine réelle
4. Solliciter un avocat spécialisé en droit de la sécurité sociale pour évaluer la qualification (indu simple ou fraude)

Deux lectures opposées du phénomène

Perspective pro-CNAM : la détection algorithmique permet d'identifier des schémas de fraude complexes (faux arrêts de travail, surfacturations systématiques) que les contrôles humains aléatoires ne pourraient pas détecter à grande échelle. Selon le rapport d'activité 2025 de l'Assurance Maladie, le taux de détection a augmenté de 34% depuis le déploiement des outils prédictifs.

Perspective défense des droits : le risque de biais algorithmique est réel — certains profils (médecins généralistes en zones sous-dotées, patients atteints de pathologies chroniques complexes) peuvent générer des patterns de remboursement atypiques sans fraude aucune, et se retrouver injustement ciblés.

Points clés à retenir

• La répétition de l'indu repose sur les articles L.133-4 et L.114-17-1 du CSS, avec des régimes distincts selon l'intention frauduleuse.
• L'AI Act, entré en vigueur en août 2024, classe potentiellement les outils de scoring de fraude en systèmes à haut risque, imposant transparence et supervision humaine.
• L'article 22 du RGPD interdit les décisions automatisées sans intervention humaine effective : une validation purement mécanique du score par un agent ne suffit pas.
• Le Conseil d'État a, dans un arrêt de juin 2025, précisé les contours de la supervision humaine exigée dans ce contexte.
• La CNIL peut être saisie en cas de traitement algorithmique non conforme et a déjà mis en demeure des CPAM en 2025.
• Le délai de contestation est de deux mois devant la Commission de recours amiable, avant toute saisine du tribunal judiciaire.
• Le droit d'accès au score et à ses paramètres est un droit opposable à l'Assurance Maladie, depuis la délibération CNIL de mars 2025.

Questions fréquentes

Qu'est-ce qu'une prestation indue en droit de la Sécurité sociale ?

Une prestation indue est toute somme versée par l'Assurance Maladie sans droit ou en excès, que ce soit par erreur administrative ou par manœuvre frauduleuse. Elle est définie et régie par les articles L.133-4 et L.162-1-14 du Code de la sécurité sociale, qui organisent son remboursement.

L'Assurance Maladie peut-elle utiliser un algorithme pour décider seule qu'il y a fraude ?

Non. En vertu de l'article 22 du RGPD, une décision produisant des effets juridiques significatifs ne peut pas reposer exclusivement sur un traitement automatisé. Une intervention humaine effective et indépendante est obligatoire, sous peine d'illégalité de la procédure.

Quel est le délai pour contester une notification d'indu de l'Assurance Maladie ?

Le délai est de deux mois à compter de la réception de la notification pour saisir la Commission de recours amiable (CRA). Ce délai est impératif ; passé ce terme, la créance devient en principe définitive sauf recours contentieux exceptionnel.

Peut-on obtenir les paramètres de l'algorithme utilisé par la CPAM pour me cibler ?

Oui. Le droit d'accès prévu à l'article 15 du RGPD s'étend aux logiques de traitement automatisé. La CNIL, dans sa délibération du 4 mars 2025, a confirmé que les assurés et professionnels ciblés peuvent demander communication des paramètres de pondération du score de risque.

Quelle est la différence entre prescription de 3 ans et de 5 ans dans ce domaine ?

En l'absence de fraude, la CPAM dispose de 3 ans pour réclamer un indu (article L.133-4 CSS). En cas de fraude avérée, ce délai est porté à 5 ans à compter de la date de versement des sommes indûment perçues, conformément à l'article L.114-17-1 CSS.

L'AI Act s'applique-t-il aux outils de détection de fraude de l'Assurance Maladie ?

Potentiellement oui. Les systèmes d'évaluation du risque de fraude dans le domaine de la protection sociale figurent à l'Annexe III de l'AI Act comme systèmes à haut risque. Depuis le 2 août 2026, les opérateurs de tels systèmes doivent satisfaire aux exigences de transparence, de documentation technique et de supervision humaine prévues aux articles 9 à 15 du règlement.

Quelles sanctions pénales risque-t-on en cas de fraude avérée à l'Assurance Maladie ?

La fraude à l'Assurance Maladie peut être poursuivie sur le fondement de l'escroquerie (article 313-1 du Code pénal, passible de 5 ans d'emprisonnement et 375 000 € d'amende) ou du faux et usage de faux (article 441-1 CP). Des peines complémentaires d'exclusion des dispositifs de protection sociale peuvent également être prononcées.

Un médecin peut-il être ciblé par un algorithme même sans fraude ?

Oui, c'est l'un des risques documentés du scoring prédictif. Un médecin exerçant en zone sous-dotée, avec une patientèle atypique ou des modes de facturation légitimement différents de la moyenne, peut générer un score élevé sans aucune irrégularité. C'est pourquoi les garanties procédurales — accès au dossier, supervision humaine, droit à explication — sont essentielles pour éviter des contrôles injustifiés.

Sources principales : Code de la sécurité sociale (articles L.133-4, L.114-9 à L.114-17-1, L.162-1-14) ; Code pénal (articles 313-1, 441-1) ; RGPD (articles 15, 22, 30, 35) ; AI Act (Règlement UE 2024/1689, Annexe III, articles 9-15, 86) ; Conseil d'État, 12 juin 2025, n°467832 ; CNIL, délibération du 4 mars 2025 ; Rapport annuel de lutte contre les fraudes et abus, CNAM, 2025.