Cyberattaque de gestionnaires de tiers payant

Violation de données de deux opérateurs de tiers payants, plus de 33 millions de personnes concernées

Début février, deux opérateurs de tiers payant des complémentaires santé, Viademis et Almerys, ont fait l’objet d'une #cyberattaque, signalée notamment auprès de la CNIL. 

Selon les informations communiquées par l’opérateur Viamedis, la cyberattaque serait liée à l’usurpation d’identité de comptes de professionnels de santé. 

A ce jour, 33 millions de personnes seraient concernées par cette violation. Pour les assurés, les données concernées sont leur état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.

Les professionnels de santé sont également concernés par cette attaque, au regard du fait que certaines données ont été exposées, en ce compris notamment leur raison sociale, nom, prénom, RIB ou réseau de soin. Les professionnels ainsi que les assurés ont au surplus subi les désagréments pratiques inhérents à l’impossibilité d’utilisation des services ainsi que l’obtention des remboursements. 

Pour mémoire, en cas de violation de données présentant un risque élevé pour les personnes concernées, le responsable de traitement, i.e les complémentaires santé faisant appel aux prestataires Viamedis et Almerys, d’informer les personnes concernées par la violation (Article 34 du RGPD).

Aux titre des mesures préventives, la CNIL recommande aux personnes concernées par la violation de :

- Rester prudent sur les sollicitations que vous pouvez recevoir, en particulier si cela concerne un remboursement de santé

- Vérifier périodiquement les activités et mouvements de vos différents comptes

La CNIL a indiqué qu’elle mettait en oeuvre des investigations afin de déterminer si les mesures de sécurité mises en oeuvre par les organismes étaient suffisantes. 

Les personnes concernées peuvent elles déposer plainte, et un formulaire de lettre plainte électronique a été mis à leur disposition. En effet, le parquet de Paris a annoncé avoir ouvert une enquête sur ces cyberattaques.

Au-delà de la plainte, l’éventuelle responsabilité des organismes pourra se poser, s’il s’avère que cette fuite de données est le résultat d’un manquement aux règles du RGPD, et notamment la sécurité. En effet, l’article 82 du RGPD rappelle que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Pour mémoire, en décembre 2023, la Cour de justice de l’Union européenne a indiqué que la crainte d’un potentiel usage abusif de données personnelles peut, à elle seule, constituer un dommage moral (CJUE, 14 déc. 2023, aff. C-340/21, Natsionalna agentsia za prihodite). 

Dès lors, les différentes personnes concernées, assurés et professionnels de santé, peuvent, s’ils ont subi un préjudice du fait des éventuels manquements en lien avec cette attaque, engager la responsabilité des organismes concernés.

Cette attaque survient par ailleurs au moment où de nombreux débats interviennent quant à la récente délibération de la CNIL ayant autorisé le choix du fournisseur de cloud américain Microsoft dans le cadre d’un entrepôt de données Européen EMC2. A cet effet, l’association Internet Society France a déposé un recours devant le Conseil d’Etat sollicitant l’annulation de la délibération susmentionnée.

Les avocats du pôle data se tiennent à votre disposition pour vous accompagner dans vos éventuelles démarches et analyse de votre préjudice afférent à cette violation.