Réponse au piratage des opérateurs de tiers payant

Question écrite

Question écrite n°03170 - 17^e législature

Les informations clés

Auteur de la question

FIALAIRE Bernard

Type de question

Question écrite

Ministre interrogé(e)

M. le ministre auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins

Date(s) de publication

Question publiée le 06/02/2025
Réponse publiée le 12/06/2025

Question initiale

Question n°01877, publiée le 17/10/2024

Question de M. FIALAIRE Bernard (Rhône - RDSE) publiée le 06/02/2025

Rappel de la question n°01877, publiée le 17/10/2024

M. Bernard Fialaire rappelle à M. le ministre auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins les termes de sa question n° 01877 sous le titre « Réponse au piratage des opérateurs de tiers payant », qui n'a pas obtenu de réponse à ce jour.

Publiée dans le JO Sénat du 06/02/2025 - page 354

Réponse du Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins publiée le 12/06/2025

Les opérateurs de tiers payan, qui mettent en oeuvre un traitement véhiculant des données personnelles, sont soumis aux obligations de respect du Règlement général sur la protection des données (RGPD) et de la loi informatique et libertés dans sa dernière version. Un principe essentiel de ces deux textes est la minimisation des données gérées pour ne traiter que celles indispensables à l'exercice des missions. À la suite de la fuite de données ayant touché ces deux opérateurs, la Commission nationale de l'informatique et des libertés (CNIL) mène des investigations afin de déterminer si les mesures de sécurité mises en oeuvre par les opérateurs de tiers-payant préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard de leurs obligations. En cas de manquement, la commission mettra en oeuvre les procédures et poursuites nécessaires. Par ailleurs, concernant l'attaque elle-même, une enquête a été confiée à la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. Enfin, le ministère de l'intérieur a mis en place un formulaire en ligne sur son site (www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys) afin de faciliter le dépôt de plainte des personnes concernées par la fuite. Concernant les missions dévolues à l'agence nationale de la sécurité des systèmes d'information et à la CNIL, il est utile de préciser que ces organismes n'ont pas pour rôle de préconiser l'emploi d'une technologie auprès des organismes gérant des données personnelles. Ils ont cependant la possibilité d'apporter un avis sur la solution choisie et de vérifier que le niveau de sécurité mis en place autour de cette gestion soit suffisant, en rapport avec la nature des données personnelles considérées. En termes de cybersécurité, les organismes complémentaires sont soumis au règlement DORA (Digital Operational Resilience Act) visant à assurer l'intégrité et la disponibilité du secteur financier. En France, c'est l'Autorité de contrôle prudentiel et de résolution qui a la charge d'accompagner sa mise en application.

Publiée dans le JO Sénat du 12/06/2025 - page 3362

Page mise à jour le 13 juin 2025

Réponse au piratage des opérateurs de tiers payant

Question de M. FIALAIRE Bernard (Rhône - RDSE) publiée le 06/02/2025

Réponse du Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins publiée le 12/06/2025

Dernières questions publiées

Réponses aux questions écrites : le palmarès des ministres

Contrôle et évaluation

Open Data