Question de M. FIALAIRE Bernard (Rhône - RDSE) publiée le 17/10/2024
M. Bernard Fialaire attire l'attention de Mme la ministre de la santé et de l'accès aux soins sur le piratage de données détenues par les opérateurs de tiers payant.
En février 2024, Almerys et Viamedis, les deux plus gros opérateurs assurant le tiers payant pour le compte de nombreuses complémentaires de santé et mutuelles, ont subi un piratage de données, rendant ainsi vulnérables les informations personnelles de plus 33 millions de Français.
Selon la commission nationale de l'informatique et des libertés (CNIL), les données concernées sont, pour les assurés et leur famille, l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit. Pour les professionnels de santé, particulièrement les fournisseurs de bien médicaux, il s'agit de la raison sociale, de l'état civil, des identifiants d'accès à Viamedis et Almerys, du numéro de téléphone, de l'adresse postale, du relevé d'identité bancaire (RIB), du numéro de fichier national des établissements sanitaires et sociaux (FINESS), du numéro de système d'identification du répertoire des établissements (SIRET), du réseau de soins.
Les mutuelles ont l'obligation d'avertir les professionnels de santé et les assurés de ce piratage. Cela n'a été fait que partiellement et parfois par courriel, ce qui peut être contraignant pour nos concitoyens éloignés du numérique.
Cette attaque a également eu des effets délétères sur l'activité des professionnels de santé, en particulier des opticiens, qui ont été empêchés de proposer le tiers payant à leur patients et clients.
Les professionnels de santé fournisseurs de biens médicaux ont alerté à plusieurs reprise la CNIL sur le fait que la transmission de données auprès de ces opérateurs n'était pas utile au remboursement.
Les assurés fournissent des données à leur mutuelle qui doivent protéger celles-ci conformément au règlement général de protection des données (RGPD), or, ces données sont transmises à des opérateurs, plateformes de traitement, dont les garanties quant à leur utilisation et à leur stockage pourraient être insuffisantes au regard des obligations du RGPD.
On peut également s'interroger sur l'utilité même de cette collecte.
En effet, un professionnel de santé fournisseur de biens est soumis par la caisse primaire d'assurance maladie (CPAM) à une gestion par les codes qui permettent l'identification individuelle des dispositifs médicaux, produits et prestations remboursables (codes LPP) et valident leur rattachement au dispositif de prise en charge par l'assurance maladie. Un code LPP et une description du produit sont seuls nécessaires pour valider le règlement d'une part mutuelle.
Les professionnels de santé ont demandé à la CNIL la mise en place d'une blockchain afin d'éviter l'empilage des plateformes et intermédiaires recueillant des données. Aucune réponse n'a été apportée à ce jour.
Au regard de tous ces éléments, il lui demande quelles mesures le Gouvernement entend mettre en oeuvre pour pallier ces dysfonctionnements.
- page 4065
Transmise au Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins
Réponse du Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins publiée le 12/06/2025
Les opérateurs de tiers payan, qui mettent en oeuvre un traitement véhiculant des données personnelles, sont soumis aux obligations de respect du Règlement général sur la protection des données (RGPD) et de la loi informatique et libertés dans sa dernière version. Un principe essentiel de ces deux textes est la minimisation des données gérées pour ne traiter que celles indispensables à l'exercice des missions. À la suite de la fuite de données ayant touché ces deux opérateurs, la Commission nationale de l'informatique et des libertés (CNIL) mène des investigations afin de déterminer si les mesures de sécurité mises en oeuvre par les opérateurs de tiers-payant préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard de leurs obligations. En cas de manquement, la commission mettra en oeuvre les procédures et poursuites nécessaires. Par ailleurs, concernant l'attaque elle-même, une enquête a été confiée à la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. Enfin, le ministère de l'intérieur a mis en place un formulaire en ligne sur son site (www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys) afin de faciliter le dépôt de plainte des personnes concernées par la fuite. Concernant les missions dévolues à l'agence nationale de la sécurité des systèmes d'information et à la CNIL, il est utile de préciser que ces organismes n'ont pas pour rôle de préconiser l'emploi d'une technologie auprès des organismes gérant des données personnelles. Ils ont cependant la possibilité d'apporter un avis sur la solution choisie et de vérifier que le niveau de sécurité mis en place autour de cette gestion soit suffisant, en rapport avec la nature des données personnelles considérées. En termes de cybersécurité, les organismes complémentaires sont soumis au règlement DORA (Digital Operational Resilience Act) visant à assurer l'intégrité et la disponibilité du secteur financier. En France, c'est l'Autorité de contrôle prudentiel et de résolution qui a la charge d'accompagner sa mise en application.
- page 3362
Page mise à jour le