La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...
Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...
Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?
Data Ring récompense les meilleures innovations en IA et souveraineté numérique
Europe : Apple et Google condamnés pour abus de position dominante et concurrence déloyale
Traitement illégal de données de santé : la CNIL sanctionne CEGEDIM SANTÉ d'une amende de 800 000...
La Commission européenne s'apprête à lancer un ambitieux projet visant à établir des « usines d'IA...
Et si l'IA, en amplifiant nos dilemmes éthiques, révélait notre incapacité à gérer nos propres...
AI ACT, cloud computing, conformité RGPD, cybersécurité, NIS 2 : Notre équipe IT/DATA revient sur...
Altij Avocats s'engage pleinement dans la troisième édition du Prix de la Donnée. Initié par...
Début février, deux opérateurs de tiers payant des complémentaires santé, Viademis et Almerys, ont fait l’objet d'une #cyberattaque, signalée notamment auprès de la CNIL.
Selon les informations communiquées par l’opérateur Viamedis, la cyberattaque serait liée à l’usurpation d’identité de comptes de professionnels de santé.
A ce jour, 33 millions de personnes seraient concernées par cette violation. Pour les assurés, les données concernées sont leur état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.
Les professionnels de santé sont également concernés par cette attaque, au regard du fait que certaines données ont été exposées, en ce compris notamment leur raison sociale, nom, prénom, RIB ou réseau de soin. Les professionnels ainsi que les assurés ont au surplus subi les désagréments pratiques inhérents à l’impossibilité d’utilisation des services ainsi que l’obtention des remboursements.
Pour mémoire, en cas de violation de données présentant un risque élevé pour les personnes concernées, le responsable de traitement, i.e les complémentaires santé faisant appel aux prestataires Viamedis et Almerys, d’informer les personnes concernées par la violation (Article 34 du RGPD).
Aux titre des mesures préventives, la CNIL recommande aux personnes concernées par la violation de :
- Rester prudent sur les sollicitations que vous pouvez recevoir, en particulier si cela concerne un remboursement de santé
- Vérifier périodiquement les activités et mouvements de vos différents comptes
La CNIL a indiqué qu’elle mettait en oeuvre des investigations afin de déterminer si les mesures de sécurité mises en oeuvre par les organismes étaient suffisantes.
Les personnes concernées peuvent elles déposer plainte, et un formulaire de lettre plainte électronique a été mis à leur disposition. En effet, le parquet de Paris a annoncé avoir ouvert une enquête sur ces cyberattaques.
Au-delà de la plainte, l’éventuelle responsabilité des organismes pourra se poser, s’il s’avère que cette fuite de données est le résultat d’un manquement aux règles du RGPD, et notamment la sécurité. En effet, l’article 82 du RGPD rappelle que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
Pour mémoire, en décembre 2023, la Cour de justice de l’Union européenne a indiqué que la crainte d’un potentiel usage abusif de données personnelles peut, à elle seule, constituer un dommage moral (CJUE, 14 déc. 2023, aff. C-340/21, Natsionalna agentsia za prihodite).
Dès lors, les différentes personnes concernées, assurés et professionnels de santé, peuvent, s’ils ont subi un préjudice du fait des éventuels manquements en lien avec cette attaque, engager la responsabilité des organismes concernés.
Cette attaque survient par ailleurs au moment où de nombreux débats interviennent quant à la récente délibération de la CNIL ayant autorisé le choix du fournisseur de cloud américain Microsoft dans le cadre d’un entrepôt de données Européen EMC2. A cet effet, l’association Internet Society France a déposé un recours devant le Conseil d’Etat sollicitant l’annulation de la délibération susmentionnée.