Violation de données de deux opérateurs de tiers payant : la CNIL ouvre une enquête et rappelle aux assurés les précautions à prendre
La CNIL mène des investigations sur la violation de données ayant affecté les opérateurs Viamedis et Almerys, deux opérateurs assurant la gestion du tiers payant pour des nombreuses complémentaires santé et mutuelles. Plus de 33 millions de personnes étant concernées, elle rappelle quelques conseils à appliquer.
Quelles données personnelles sont concernées ?
La CNIL a été informée par Viamedis et Almerys de l’attaque informatique dont ils ont été victimes fin janvier. Ces opérateurs, qui assurent la gestion du tiers payant des complémentaires santé, ont vu les données nécessaires à leurs missions être compromises lors de cette violation.
Au total, cette fuite de données concerne plus de 33 millions de personnes. Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.
Les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernées par la violation.
Comment savoir si cette violation de données vous concerne ?
Il appartient à chacune des complémentaires santé faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées comme le prévoit notamment le règlement général sur la protection des données (RGPD). La CNIL s’assurera que ce soit fait dans les plus brefs délais.
La CNIL n’est pas en mesure de vous indiquer si vous êtes concerné.
Que pouvez-vous faire si vous êtes concerné(e) par cette violation de données ?
Si vous êtes une personne concernée, la CNIL vous conseille :
- d’être prudent sur les sollicitations que vous pourrez recevoir, en particulier s’ils concernent des remboursements de frais de santé ;
- de vérifier périodiquement les activités et mouvements sur vos différents comptes.
Bien que les données de contact ne soient pas concernées par la violation, il est possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures.
L’action de la CNIL
Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD.