Piratage de données santé : les conséquences de la cyberattaque

Piratage de données santé :  les conséquences de la cyberattaque
Sanctions CNIL

Deux opérateurs de tiers payant, Viamedis et Almerys, ont été victimes de cyberattaques en janvier 2023. Ces attaques ont eu un impact important sur les assurés, dont les données personnelles et médicales ont été compromises.

Rappel des faits

Viamedis et Almerys, deux plateformes de gestion du tiers payant jouant le rôle d’intermédiaires entre les professionnels de la santé (médecins, pharmaciens, opticiens, etc.) et les assureurs complémentaires, ont été successivement victimes de cette attaque informatique. Selon la Commission nationale de l’informatique et des libertés (Cnil), plus de 33 millions de Français se trouvent exposés au risque de vol de leurs données.

Les informations sensibles telles que les données bancaires et médicales, les coordonnées postales et les numéros de téléphone ne semblent pas avoir été compromises. Cependant, les pirates ont réussi à obtenir des données telles que l’état civil, le numéro de sécurité sociale, le nom de la mutuelle et les garanties du contrat souscrit.

Du côté des professionnels de la santé, les pharmaciens semblent moins touchés, avec une suspension temporaire des paiements via Viamedis, mais les feuilles de soin continuent d’être générées et facturées aux clients. Le service de tiers payant est désormais opérationnel pour eux.

Les opticiens pénalisés

En revanche, la situation est plus délicate pour les opticiens, qui n’ont pas reçu d’indication quant à la date de rétablissement du service par Viamedis. Face à l’impossibilité d’effectuer des demandes de prise en charge, les clients se retrouvent dans l’embarras, d’autant plus que l’achat de lunettes représente souvent une dépense conséquente.

La Cnil a lancé une enquête pour établir si Viamedis et Almerys ont pris les mesures de sécurité nécessaires conformément à la législation européenne sur la protection des données (RGPD).

Comment doit-on procéder en cas de violation de données ?

En cas de violation de données, il est crucial de mettre en place une procédure de gestion des incidents pour réagir rapidement. Cela implique l’identification de la violation, la prise de mesures correctives immédiates, et une évaluation de l’impact sur les droits et libertés des personnes concernées.

Une notification à la CNIL doit être effectuée dans les 72 heures en cas de risque, avec une communication aux personnes concernées si le risque est élevé.

Il est également essentiel de sensibiliser l’ensemble du personnel à cette procédure pour une réactivité optimale. Ne pas notifier à la CNIL peut entraîner des amendes pouvant atteindre jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial pour une entreprise. Une gestion proactive des violations de données est donc cruciale pour éviter des conséquences graves pour l’entreprise et les personnes concernées. Soyez vigilant et élaborez une procédure adaptée à la gestion des violations de données.

Recommandations pour les assurés

  • Surveillez vos comptes bancaires et vos relevés de carte.
  • Signalez toute activité suspecte à votre banque ou à votre compagnie d’assurance.
  • Changez vos mots de passe régulièrement.
  • Restez vigilants face aux emails et aux appels téléphoniques suspects.
Partager l'article

Articles similaires

Protection des données : La CNIL dévoile son Bilan 2023 
Sanctions CNIL

Protection des données : La CNIL dévoile son Bilan 2023 

La Commission nationale de l’informatique et des libertés (CNIL) dresse le bilan de son activité pour l’année 2023, marquant ainsi les cinq ans de la mise en œuvre du Règlement général sur la protection des données (RGPD). Retour sur 2023, l’année a été caractérisée par un nombre record de plaintes reçues et une refonte de la politique d’accompagnement de la CNIL.
Lire la suite
Hubside store sanctionnée par la CNIL
Sanctions CNIL

Hubside store sanctionnée par la CNIL

La CNIL a infligé une amende de 525 000 euros à la société HUBSIDE.STORE, principalement en raison de son utilisation de données fournies par des courtiers en données à des fins de prospection commerciale, sans s’assurer que les personnes concernées avaient consenti à être démarchées.
Lire la suite