La CNIL ouvre une enquête après l’attaque de deux organismes qui gèrent le tiers payant

La CNIL a ouvert une enquête après l’attaque informatique de Viamedis et Almerys. Les données de 33 millions de français sont potentiellement dans la nature.

La semaine dernière, Viamedis annonçait avoir subi une cyberattaque. La société qui assure la gestion du tiers payant de plus de 20 millions de français a vite été rejointe par Almerys qui gère, pour sa part, les données du tiers payant pour 13 millions de français.

La CNIL s’assurera des mesures prises par les complémentaires santé

Deux gestionnaires du tiers payant des complémentaires santé ont donc fait face à une cyberattaque en moins d’une semaine, ce qui a entraîné la fuite de données de plus de 33 millions de personnes au total.

Parmi les données dans la nature, l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties souscrites. Les données comme les informations bancaires, médicales, les remboursements ou encore les coordonnées ne sont pas concernées par ces fuites mais les informations récupérées peuvent déjà permettre des campagnes de phishing très poussées.

Face à ces deux fuites de données, la Commission nationale informatique et libertés (CNIL) mène l’enquête afin de savoir si les complémentaires ont bien mis en place les actions nécessaires.

La présidente de la CNIL a décidé de lancer des investigations afin de déterminer si les mesures de sécurité mises en œuvre avant et après les incidents étaient appropriées au regard des obligations du RGPD.

Pour rappel, les complémentaires santé faisant appel à Viamedis ou Almerys doivent informer individuellement et directement l’ensemble des personnes concernées comme cela est prévu par le RGPD. La CNIL s’assurera aussi de cela ait été fait dans les délais.