Numéro de sécu, mutuelle : des données volées à plus de 33 millions de Français
Publié : 8 février 2024 à 7h47 par Joséphine Point avec AFP
Selon la Commission nationale de l'informatique et des libertés (Cnil), les comptes bancaires, les informations médicales, les adresses postales et adresses mail ne seraient pas concernées.
État civil, numéro de sécurité sociale, informations sur la mutuelle : plus de 33 millions de Français sont concernés par un vol de données lors d'une cyber-attaque contre des gestionnaires du tiers payant, a révélé la Cnil.
Deux sociétés servant d'intermédiaires entre les professionnels de santé (médecins, pharmaciens, opticiens, etc.) et les complémentaires santé ont été la cible de cette attaque : Viamedis (détenue notamment par les complémentaires Malakoff Humanis et Vyv) et Almerys. Ce sont les opérateurs qu'un professionnel de santé interroge pour savoir s'il peut accorder, ou non, le tiers payant à un assuré social.
"Plus de 33 millions de personnes" sont concernées par une violation de données "pour les assurés et leur famille : l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit", a précisé dans un communiqué le gendarme de la vie privée numérique. Mais, selon la Cnil, "les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone" ou encore les adresses électroniques "ne seraient pas concernés".
Les personnes concernées rapidement contactées
La Cnil a appelé les complémentaires recourant à Viamedis et Almerys à informer "individuellement et directement" tous leurs assurés concernés, prévenant qu'elle s'assurera que ce soit fait "dans les plus brefs délais".
Aux Français touchés, il est conseillé d'"être prudent sur les sollicitations qu'(ils peuvent) recevoir, en particulier si elles concernent des remboursements de frais de santé" mais aussi "de vérifier périodiquement les activités et mouvements sur (leurs) différents comptes".
Selon des spécialistes de la cybersécurité interrogés ces derniers jours, les données exposées n'ont pas une grande valeur en tant que telles mais peuvent éventuellement servir à de futures cyber-attaques. "Ça ne vaut pas grand chose comme données, il faudrait qu'il y ait aussi au moins un e-mail et un numéro de téléphone" pour qu'elles permettent de monter des attaques rapidement, selon Damien Bancal, grand observateur du marché noir de la donnée volée.