La violation des données de l’assurance maladie affecte près de la moitié de la population française, prévient le régulateur de la vie privée

Les données de plus de 33 millions de personnes en France, soit environ la moitié de la population, ont été compromises lors d’une cyberattaque fin janvier, selon l’organisme de surveillance de la vie privée du pays.

La Commission Nationale Informatique et Liberts (CNIL) a annoncé cette semaine avoir été informée par deux compagnies d’assurance maladie, Viamedis et Elmers, de l’incident.

Elle prévient que les données concernent les assurés et leurs familles et comprennent l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur maladie ainsi que les garanties du contrat souscrit.

Heureusement, contrairement à l’incident qui a touché la société australienne d’assurance maladie Medibank, les antécédents médicaux et les données de traitement n’ont pas été compromis.

La CNIL précise que les compagnies d’assurance maladie sont directement chargées d’informer les personnes concernées, mais que les personnes concernées sont invitées à être prudentes face à d’éventuelles tentatives de phishing visant à les frauder.

La CNIL a averti que même si les données de contact des assurés n’ont pas été affectées par la violation, il est possible que les données violées puissent être combinées avec d’autres informations provenant de violations de données antérieures pour commettre d’autres délits.

L’agence de protection des données a indiqué que compte tenu de l’ampleur de l’incident, elle avait décidé de mener très rapidement des enquêtes afin de déterminer notamment si les mesures de sécurité mises en œuvre avant l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD.

S’il s’avère que les entreprises n’ont pas mis en place les protections de cybersécurité requises par le RGPD (Règlement général sur la protection des données) de l’UE, elles pourraient être condamnées à une amende pouvant aller jusqu’à 20 millions ou 4 % de leur chiffre d’affaires mondial, le montant le plus élevé étant retenu.

L’attaque du ransomware contre Medibank a provoqué une énorme détresse en Australie lorsque les criminels ont commencé à publier des données sensibles sur les demandes de soins de santé d’environ 480 000 personnes, y compris des informations sur les traitements de la toxicomanie et les avortements, à des fins d’extorsion.

L’Australie, aux côtés du Royaume-Uni et des États-Unis, a publiquement identifié le mois dernier le coupable présumé comme étant le pirate informatique russe Aleksandr Ermakov, et lui a imposé des sanctions financières et des interdictions de voyager.

Alexandre Martin

Alexander Martin est le rédacteur britannique de Recorded Future News. Il était auparavant journaliste technologique pour Sky News et est également membre de la European Cyber ​​Conflict Research Initiative.