Violation de données de deux opérateurs de tiers payant la CNIL ouvre une enquête et rappelle aux assurés les précautions à prendre CNIL
pLa CNIL mène des investigations sur la violation de données ayant affecté les opérateurs Viamedis et Almerys deux opérateurs assurant la gestion du tiers payant pour des nombreuses complémentaires santé et mutuelles Plus de 33 millions de personnes étant concernées elle rappelle quelques conseils à appliquerppLa CNIL a été informée par Viamedis et Almerys de lattaque informatique dont ils ont été victimes fin janvier Ces opérateurs qui assurent la gestion du tiers payant des complémentaires santé ont vu les données nécessaires à leurs missions être compromises lors de cette violationppAu total cette fuite de données concerne plus de 33 millions de personnes Les données concernées sont pour les assurés et leur famille létat civil la date de naissance et le numéro de sécurité sociale le nom de lassureur santé ainsi que les garanties du contrat souscritppLes données telles que les informations bancaires les données médicales les remboursements santé les coordonnées postales les numéros de téléphone ou encore les courriels ne seraient pas concernées par la violationppIl appartient à chacune des complémentaires santé faisant appel aux prestataires Viamedis et Almerys dinformer individuellement et directement lensemble des personnes concernées comme le prévoit notamment le règlement général sur la protection des données RGPD La CNIL sassurera que ce soit fait dans les plus brefs délaisppLa CNIL nest pas en mesure de vous indiquer si vous êtes concernéppSi vous êtes une personne concernée la CNIL vous conseille ppBien que les données de contact ne soient pas concernées par la violation il est possible que les données ayant fait lobjet de la violation soient couplées à dautres informations provenant de fuites de données antérieuresppDevant lampleur de la violation la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à lincident et en réaction à celuici étaient appropriées au regard des obligations du RGPDp