La CNIL enquête afin de vérifier la conformité des mesures de sécurité prises par les opérateurs Viamedis et Almerys suite aux intrusions ayant compromis les données de 33 millions d’assurés.
Initialement, 20 millions d’assurés étaient concernés par la violation de données affectant les opérateurs Viamedis et Almerys, chargés de la gestion du tiers-payant. Ce chiffre s'élève désormais à 33 millions de personnes selon la Commission nationale de l'informatique et des libertés (CNIL).
Viamedis avait déconnecté sa plateforme dès la découverte de la violation et déposé plainte auprès du procureur de la République. L'entreprise a également informé l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et la Commission nationale de l'informatique et des libertés (CNIL).
Déterminer la conformité aux RGPD des mesures de sécurité
Informée de la violation par les deux opérateurs, la CNIL a précisé que « les données concernées comprennent, pour les assurés et leur famille, l'état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit. » Les informations bancaires, médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou les adresses e-mail ne seraient en revanche pas concernés.
L'autorité administrative a ouvert une enquête visant à déterminer si les deux opérateurs ont mis en place des mesures de sécurité suffisantes et conformes au RGPD. La CNIL a rappelé que, conformément au RGPD toujours, les complémentaires santé utilisant les services de Viamedis et Almerys doivent informer les personnes concernées. La CNIL conseille aux assurés de redoubler de prudence, notamment s'ils reçoivent des sollicitations concernant des remboursements de santé et de vérifier l'activité sur leurs comptes.