Deux opérateurs de tiers payant, Viamedis et Almerys, ont été victimes de cyberattaques en janvier 2023. Ces attaques ont eu un impact important sur les assurés, dont les données personnelles et médicales ont été compromises.
Rappel des faits
Viamedis et Almerys, deux plateformes de gestion du tiers payant jouant le rôle d’intermédiaires entre les professionnels de la santé (médecins, pharmaciens, opticiens, etc.) et les assureurs complémentaires, ont été successivement victimes de cette attaque informatique. Selon la Commission nationale de l’informatique et des libertés (Cnil), plus de 33 millions de Français se trouvent exposés au risque de vol de leurs données.
Les informations sensibles telles que les données bancaires et médicales, les coordonnées postales et les numéros de téléphone ne semblent pas avoir été compromises. Cependant, les pirates ont réussi à obtenir des données telles que l’état civil, le numéro de sécurité sociale, le nom de la mutuelle et les garanties du contrat souscrit.
Du côté des professionnels de la santé, les pharmaciens semblent moins touchés, avec une suspension temporaire des paiements via Viamedis, mais les feuilles de soin continuent d’être générées et facturées aux clients. Le service de tiers payant est désormais opérationnel pour eux.
Les opticiens pénalisés
En revanche, la situation est plus délicate pour les opticiens, qui n’ont pas reçu d’indication quant à la date de rétablissement du service par Viamedis. Face à l’impossibilité d’effectuer des demandes de prise en charge, les clients se retrouvent dans l’embarras, d’autant plus que l’achat de lunettes représente souvent une dépense conséquente.
La Cnil a lancé une enquête pour établir si Viamedis et Almerys ont pris les mesures de sécurité nécessaires conformément à la législation européenne sur la protection des données (RGPD).
Comment doit-on procéder en cas de violation de données ?
En cas de violation de données, il est crucial de mettre en place une procédure de gestion des incidents pour réagir rapidement. Cela implique l’identification de la violation, la prise de mesures correctives immédiates, et une évaluation de l’impact sur les droits et libertés des personnes concernées.
Une notification à la CNIL doit être effectuée dans les 72 heures en cas de risque, avec une communication aux personnes concernées si le risque est élevé.
Il est également essentiel de sensibiliser l’ensemble du personnel à cette procédure pour une réactivité optimale. Ne pas notifier à la CNIL peut entraîner des amendes pouvant atteindre jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial pour une entreprise. Une gestion proactive des violations de données est donc cruciale pour éviter des conséquences graves pour l’entreprise et les personnes concernées. Soyez vigilant et élaborez une procédure adaptée à la gestion des violations de données.
Recommandations pour les assurés
- Surveillez vos comptes bancaires et vos relevés de carte.
- Signalez toute activité suspecte à votre banque ou à votre compagnie d’assurance.
- Changez vos mots de passe régulièrement.
- Restez vigilants face aux emails et aux appels téléphoniques suspects.
