Les millions d’assurés concernés par un vol de données sur la plateforme de tiers-payant santé Almerys vont pouvoir être prévenus individuellement, a indiqué Almerys vendredi à l’AFP, sans indiquer toutefois le nombre de personnes concernées.
Almerys « a adressé à l’ensemble » de ses clients assureurs « la liste » des personnes concernées par la cyberattaque, a-t-elle indiqué dans une déclaration écrite.
« Celle-ci doit permettre » aux assureurs santé de faire une « communication directe à leurs bénéficiaires concernés ».
Almerys a néanmoins refusé de communiquer le nombre de personnes victimes du vol.
Selon le site spécialisé French Breaches, premier à alerter sur la cyberattaque le vendredi 22 mai, « plus de 15 millions de numéros sécurité sociale » auraient été dérobés par un pirate informatique, puis mis en vente sur le dark web.
Un professionnel de l’assurance santé a évoqué vendredi auprès de l’AFP une « vingtaine de millions de personnes » potentiellement concernées.
Interrogée par l’AFP, la Cnil, gardienne officielle de la protection des données, a confirmé qu’elle avait bien été prévenue par Almérys et ses clients assureurs du vol de données, mais n’a donné aucune information sur le nombre de personnes concernées.
Selon Almerys, les données volées comprennent nom, prénom, date de naissance, numéro de sécurité sociale, nom de l’assureur santé, numéro de contrat de l’assureur ainsi que les dates de début et de fin de couverture.
Elles ne comprennent ni données bancaires, ni données de santé, ni adresses email ou postales ou numéros de téléphone, ce qui diminue leur valeur sur le marché noir de la donnée.
Mais selon les experts, ces données recoupées avec d’autres peuvent servir à monter de multiples escroqueries, au détriment des assurés eux-mêmes ou bien de l’Assurance maladie ou des assureurs santé.
Almerys a précisé que « l’attaque n’est pas la même qu’en 2024 », quand l’entreprise, ainsi que son concurrent Viamedis, avaient été touchés par un premier vol massif de données.
Les investigations de la Cnil sur le premier vol de 2024 devraient être conclues « courant 2026 », a précisé la Cnil à l’AFP.
Un certain nombre d’assureurs a déjà publié sur leur portail client un avis d’information sur le vol des données.
Alan, Generali, Viasanté/AG2R, CNP Assurances, Aesio, MCEN (mutuelle du notariat), MMJ (métiers de la justice et sécurité) ont ainsi prévenu du vol, selon un décompte partiel de l’AFP.
Almedys, Viamedis et Cetip (groupe Cegedim)sont les trois poids-lourds du métier de gestionnaire de tiers-payant en France. Ils gèrent quotidiennement des quantités colossales de données pour permettre le remboursement de la part complémentaire des soins.
« Tous droits de reproduction et de représentation réservés. © 2026 Agence France-Presse. »
Réagissez à cet article
Connectez-vous
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Vous n'avez pas encore de compte ?
Inscrivez-vous !