La Cnil annonce ouvrir une enquête à la suite d’une violation de données de deux acteurs du tiers payant. L’investigation cible les opérateurs Viamedis et Almerys, deux sociétés assurant la gestion du tiers payant pour de nombreux assureurs santé et mutuelles. Plus de 33 millions de personnes sont concernées.
Une violation de données de grande ampleur
Devant l’ampleur de la violation, la présidente de la Cnil souligne qu’elle a décidé de mener très rapidement des investigations afin de déterminer si les mesures de sécurité mises en œuvre avant l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD.
Viamedis et Almerys ont informé la Cnil de l’attaque informatique dont ils ont été victimes
Au total, cette fuite de données concerne plus de 33 millions de personnes, précise la Cnil. Les données qui sont concernées sont l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé et les garanties du contrat souscrit pour les assurés et leur famille.
Les informations bancaires ne seraient pas concernées
D’autres données ne seraient pas concernées par la violation, telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone et l’email.
Chacun des assureurs santé doit informer individuellement et directement les personnes concernées
A la suite de cette violation de données, la Cnil conseille d’être prudent sur les sollicitations que chacun pourra recevoir, en particulier si ces demandes concernent des remboursements de frais de santé ; de vérifier périodiquement les activités et mouvements sur ses différents comptes. Il est possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures bien que les données de contact ne soient pas concernées par la violation,
