Le 11 février 2025, Thomson Reuters a remporté un procès contre Ross Intelligence pour avoir...
« L’ironie de la rivalité, c’est que les conceptions européennes l’emportent en...
Remboursement du CICE : le Conseil d’État ouvre la porte aux retardataires ! Le...
QUAND CONTESTER PARTIELLEMENT PEUT TOUT CHANGER ! En matière de contentieux fiscal, le...
Intelligence artificielle au travail : obligation de consultation du CSE avant le déploiement de...
Selon l'article 1649 A du CGI, les contribuables domiciliés en France doivent déclarer leurs...
Une régulation claire de la franchise est essentielle pour garantir un équilibre entre droits et...
Présomption de distribution et mise à disposition : une exigence probatoire renforcée
Notification fiscale et preuve : le Conseil d'État tranche sur la régularité des mises en demeure...
Preuve de l’engagement de réinvestissement et report d’imposition : précisions jurisprudentielles
Début février, deux opérateurs de tiers payant des complémentaires santé, Viademis et Almerys, ont fait l’objet d'une #cyberattaque, signalée notamment auprès de la CNIL.
Selon les informations communiquées par l’opérateur Viamedis, la cyberattaque serait liée à l’usurpation d’identité de comptes de professionnels de santé.
A ce jour, 33 millions de personnes seraient concernées par cette violation. Pour les assurés, les données concernées sont leur état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.
Les professionnels de santé sont également concernés par cette attaque, au regard du fait que certaines données ont été exposées, en ce compris notamment leur raison sociale, nom, prénom, RIB ou réseau de soin. Les professionnels ainsi que les assurés ont au surplus subi les désagréments pratiques inhérents à l’impossibilité d’utilisation des services ainsi que l’obtention des remboursements.
Pour mémoire, en cas de violation de données présentant un risque élevé pour les personnes concernées, le responsable de traitement, i.e les complémentaires santé faisant appel aux prestataires Viamedis et Almerys, d’informer les personnes concernées par la violation (Article 34 du RGPD).
Aux titre des mesures préventives, la CNIL recommande aux personnes concernées par la violation de :
- Rester prudent sur les sollicitations que vous pouvez recevoir, en particulier si cela concerne un remboursement de santé
- Vérifier périodiquement les activités et mouvements de vos différents comptes
La CNIL a indiqué qu’elle mettait en oeuvre des investigations afin de déterminer si les mesures de sécurité mises en oeuvre par les organismes étaient suffisantes.
Les personnes concernées peuvent elles déposer plainte, et un formulaire de lettre plainte électronique a été mis à leur disposition. En effet, le parquet de Paris a annoncé avoir ouvert une enquête sur ces cyberattaques.
Au-delà de la plainte, l’éventuelle responsabilité des organismes pourra se poser, s’il s’avère que cette fuite de données est le résultat d’un manquement aux règles du RGPD, et notamment la sécurité. En effet, l’article 82 du RGPD rappelle que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
Pour mémoire, en décembre 2023, la Cour de justice de l’Union européenne a indiqué que la crainte d’un potentiel usage abusif de données personnelles peut, à elle seule, constituer un dommage moral (CJUE, 14 déc. 2023, aff. C-340/21, Natsionalna agentsia za prihodite).
Dès lors, les différentes personnes concernées, assurés et professionnels de santé, peuvent, s’ils ont subi un préjudice du fait des éventuels manquements en lien avec cette attaque, engager la responsabilité des organismes concernés.
Cette attaque survient par ailleurs au moment où de nombreux débats interviennent quant à la récente délibération de la CNIL ayant autorisé le choix du fournisseur de cloud américain Microsoft dans le cadre d’un entrepôt de données Européen EMC2. A cet effet, l’association Internet Society France a déposé un recours devant le Conseil d’Etat sollicitant l’annulation de la délibération susmentionnée.