Données de santé piratées : 33 millions de français seraient concernés
Début 2024, Viamedis et Almerys, deux entreprises de gestion du tiers payant, ont été victimes d’intrusions dans leurs systèmes informatiques. Une fuite qui concerne potentiellement plus de 33 millions de personnes, exposant de grandes quantités de données de santé. La Commission Nationale de l’Informatique et des Libertés (CNIL) et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ont été notifiées.
Qu’est-ce qu’une violation de données ?
Une violation de la sécurité qui se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
Source : CNIL
Quelles données ont été exposées ?
Les données compromises concernent l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties des contrats souscrits. En revanche, la CNIL a annoncé que les informations bancaires, les adresses postales, les numéros de téléphone ou les remboursements de santé n’auraient pas fait l’objet d’accès frauduleux.
Une intrusion sur la plateforme serait à l'origine de cette violation de données, et non une attaque par rançongiciel. En effet, les pirates auraient réussi à accéder aux systèmes informatiques de Viamedis et Almerys en usurpant les identifiants et les mots de passe de professionnel·les de santé utilisant leur service. Ces attaques, qui ont eu lieu les 29 janvier et 3 février, ont été signalées à cinq jours d’intervalle par les deux gestionnaires.
À l'heure où le débat est concentré sur l'hébergement des données de santé par Microsoft, la question de la sécurité de ces données pourrait aussi se poser.
La CNIL, informée de ces attaques informatiques comme le Règlement Général sur la Protection des Données (RGPD) l’impose, a lancé une investigation. L’objectif de cette enquête est de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard du RGPD.
Si la CNIL n'est pas en mesure de dire quel·les assuré·es sont concerné·es par cette violation de données, il appartient en revanche aux organismes de complémentaires ayant recours à ces prestataires d'informer les personnes concernées.

Quelles sont les recommandations de la CNIL ?
Compte tenu de la situation, la CNIL recommande aux assuré·es une certaine prudence sur les sollicitations concernant des remboursements de frais de santé, et la vérification régulière des activités sur leurs comptes. Elle s’assurera que les assuré·es soient contactés "dans les plus brefs délais".
De son côté, l’Assurance Maladie avait déjà publié quelques exemples de SMS frauduleux utilisés pour arnaquer les assuré·es.

Une enquête a été ouverte le 9 février par le parquet de Paris, pour "infractions d'atteinte à un système automatisé de données, collecte frauduleuse de données à caractère personnel et recel d'un délit."
Cet incident souligne l’importance de la cybersécurité dans le secteur de la santé. Il est crucial que les entreprises prennent toutes les mesures nécessaires pour protéger les données sensibles de leurs client·es. Il est également indispensable pour les professionnel·les de santé de prendre conscience de l’importance et de la sensibilité des données qu’ils·elles traitent au quotidien.
Références :
- CNIL.fr - Violation de données de deux opérateurs de tiers payant : la CNIL ouvre une enquête et rappelle aux assurés les précautions à prendre
- Ameli - Attention aux appels, courriels et SMS frauduleux
- Franceinfo - Cyberattaque des mutuelles Viamedis et Almerys : une enquête ouverte sur le piratage des données de 33 millions de Français
[Photo de couverture : National Cancer Institute]
Soutenez-nous en partageant l'article :