Vol de données : plus de 33 millions de personnes concernées par des cyberattaques contre deux spécialistes du tiers payant, annonce la Cnil

Viamedis et Almerys ont pour mission de gérer le tiers payant des complémentaires santé. L'état civil, la date de naissance et le numéro de sécurité sociale font partie des informations dérobées aux assurés sociaux lors des attaques.

franceinfo

France Télévisions

Publié le 07/02/2024 19:25 Mis à jour le 07/02/2024 19:42

Temps de lecture : 2min

Le siège de la Commission nationale de l'informatique et des libertés, le 8 octobre 2010 à Paris. (ETIENNE LAURENT / AFP)

La Commission nationale de l'informatique et des libertés (Cnil) annonce l'ouverture d'une enquête, mercredi 7 février, après le récent piratage de deux opérateurs du tiers payant, Viamedis et Almerys. Elle évoque une violation "d'ampleur", puisque les données de 33 millions de personnes sont concernées. "La Cnil a été informée par [ces sociétés] de l’attaque informatique dont [elles] ont été victimes fin janvier", précise un communiqué. Ces opérateurs ont pour mission de gérer le tiers payant des complémentaires santé. "Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit."

En revanche, poursuit la Cnil, les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels "ne seraient pas concernées par la violation". A ce stade, l'organisme n'est pas encore en mesure d'indiquer quels assurés sont concernés. Il renvoie vers "les complémentaires santé qui font appel aux sociétés piratées", et qui doivent informer "les bénéficiaires concernés comme le prévoit le règlement général sur la protection des données (RGPD)".

Une intrusion dans la plateforme de Viamedis

La présidente de la Cnil, Marie-Laure Denis, "a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du règlement général sur la protection des données".

Début février, Viamedis, qui a déposé une plainte auprès du procureur de la République, avait indiqué avoir déconnecté sa plateforme de gestion après la découverte de l'intrusion, ce qui n'empêchait pas les assurés de bénéficier du tiers payant. Son directeur général, Christophe Candé, avait expliqué qu'il ne s'agissait pas d'une attaque par rançongiciel mais d'une intrusion dans la plateforme. "Le compte d'un professionnel de santé a été hameçonné", avait-il alors révélé.