Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Prestataires du tiers payant : le parquet de Paris ouvre une enquête

Prestataires du tiers payant : le parquet de Paris ouvre une enquête

Le 12 février à 06h45

Suite aux plaintes déposées par Viamedis et Almerys, les deux prestataires du tiers payant qui ont été piratés, le parquet de Paris a indiqué vendredi avoir ouvert une enquête pour « atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit », explique le site du Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA).

Pour rappel, ce piratage a permis la fuite de données – état civil, la date de naissance, le numéro de sécurité sociale, le nom de leur assureur santé ainsi que les garanties ouvertes au tiers payant – de la moitié des français.

Le GIP ACYMA rappelle qu' « en complément des plaintes déjà déposées par les mutuelles et prestataires concernés, vous avez également la possibilité de déposer plainte si vous le souhaitez ».

Il propose en ce sens un formulaire de lettre-plainte électronique [PDF] permettant de porter plainte sans se rendre au commissariat ou en gendarmerie. Celui-ci peut être soit envoyé via la plateforme France transfert soit par courrier postal.

Le 12 février à 06h45

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
J'ai reçu un mail de mon ancienne mutuelle comme quoi elle était concerné. Il y a un intérêt quelconque a porter plainte (demander des dommages et intérêts, ...) ?
votre avatar
Comment se fait-il qu'elle ai encore vos données, si c'est une ANCIENNE mutuelle ?
votre avatar
Délai de conservation légal ? Je sais qu'il y en a (même assez long) dans le secteur des assurances, donc peut être que les mutuelles ont aussi des obligations en ce sens.
votre avatar
Comme tu peux faire des recours sur des remboursements de prestations pendant 2 ans, il faut a minima conserver les données 2 ans.
votre avatar
C'est dû au délai de conservation légal. De mémoire, ça va jusque 10 ans après la résiliation du contrat.
votre avatar
Il y a un intérêt quelconque a porter plainte (demander des dommages et intérêts, ...) ?
Quelqu'un a une réponse à cette partie du message ?


Edit : side question, comment on fait pour un bloc de citation correct ?
votre avatar
Je vais porter plainte moi-même pour la raison que si l'enquête détermine au passage que ces sociétés n'ont pas accompli leurs diligences propres pour parer à cette fuite, les plaintes pèseront contre elles. Parce que la question non répondue par l'information que j'ai reçue de ma mutuelle, c'est si ces sociétés ont aussi une part de responsabilité, et si elles ont pris des mesures préventives et curatives adéquates.
Si elles méritent une baffe pour n'avoir pas bien sécurisé mes données, ça me soulage de leur filer.
votre avatar
Et nous, on dépose comment plainte contre "Viamedis et Almery" ? :D
votre avatar
J'ai justement l'impression que c'est ce que propose cybermalveillance.gouv.fr. Je me pose aussi la question de l'intérêt. Est-ce qu'ils ont mis un formulaire pour nous inciter à l'utiliser (par exemple pour montrer le tollé populaire suscité - je rêve ? 😁) ou pour éviter d'être noyés sous des demandes sous des formes diverses.
votre avatar
La fameuse doctrine du "Si tu es victime c'est de ta faute car tu aurais dû mieux te protéger".

:roll:
votre avatar
La responsabilité partagée est bien dans l'esprit du RGPD, car ici les victimes ne sont pas seulement Viamedis et Almery, mais les X millions de patients.

Le code pénal sanctionne l'accès frauduleux dans un SI.
Le RGPD sanctionne le fait de ne pas pris toutes les précautions dès la conception du produit ou du service. Surtout quand on manipule des numéros de sécu, données sensibles au sens RGPD.

Le fait qu'un professionnel de santé puisse accéder à la totalité de la base sans limite est au moins intrigant.

Je me dis qu'il faudrait vraiment un BEA informatique, qui ferait un audit systématique en cas d'incident significatif, avec rapports publics, recommandations suivies et tout le toutim.
votre avatar
Il est logique que le professionnel de santé puisse accéder à la totalité de la base de données puisque le principe c'est de vérifier si le patient a une mutuelle ou non.
Tout le monde parle de piratage, ça me semble plutôt un abus de langage et le terme '"atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit " utilisé par le parquet me semble bien plus approprié.
On pourrait par contre reprocher aux prestataires de ne pas avoir mis de limite maximale de données récoltés sur un temps imparti (sur quelle durée précisément, impossible de le savoir pour le moment).
votre avatar
Et comment peut-on déterminer si l'on fait parti des victimes ?
votre avatar
Si sur ta carte de tiers payant tu as un des logos ou mention de Viamédis ou Almerys, alors tu es concerné.

Après dans la presse généraliste ils disaient que Viamedis était partenaire des réseaux Cartes Blanche, Itelis... Si quelqu'un a des infos sur le fait que ceux-ci soient aussi impactés, ça peut toujours etre utile (et faire monter le nombre EE potentielles "victimes")
votre avatar
Valable pour les cartes de tiers payant de 2024, 2023 et qui sait combien d'autres années, car les mutuelles changent parfois de prestataires. C'est le cas de Mercer qui passait par Viamedis pour l'optique en 2023, mais plus en 2024
votre avatar
Perso j'ai été informé par ma mutuelle.
votre avatar
D'ici peu nous allons apprendre qu'il s'agit juste d'un adolescent, tout seul dans sa chambre.
il a du acquérir un outil sur AlphaBay avant la fermeture :transpi:
votre avatar
Tout le monde parle de mutuelle
Mais perso je n'ai pas de mutuelle mais je suis bien au tiers payant
Suis je concerné ?
votre avatar
Dans ce cas, tu n'as que le tiers payant de la Sécurité Sociale, et donc un reste à charge plus ou moins important car tu n'apparais probablement pas dans les réponses des prestataires du tiers payant (qui concerne les mutuelles et te permet de ne rien payer quand tu vas chez certains médecins, car c'est directement pris en charge par la mutuelle). Sauf si tu es couvert pas la CMU ou d'autres cas particuliers, bien sûr.
votre avatar
Tiers payant veut dire que l'organisme (sécurité sociale ou mutuelle) paye directement le professionnel de santé.
Tu n'as donc pas à faire l'avance des frais de santé.
Si tu n'as pas de mutuelle (obligatoire normalement via ton employeur), tu es peut être à la CMU ?
votre avatar
Il ne travaille plus, je crois me souvenir. .

Et on dit mutuelle même quand il s'agit d'une compagnie d'assurance. Il vaudrait mieux dire : complémentaire santé.
votre avatar
Mais je sais très bien comment ça se passe je demande simplement par rapport à l'article
Depuis le début on parle de piratage pour les prestataires du tiers payants et tous les commentaires semblent en conclure que cela n'a à voir qu'avec les mutuelles ou les assurances santé
Je me demande donc si les données volées concernent ceux qui n'ont aucune mutuelle ou assurance supplémentaire.
Ou d'une autre façon : est ce que Viamedis et Almerys sont utilisés pour gérer le tiers payant entre les mèdecins / pharmacies et Ameli
votre avatar
Non, pas avec Ameli. Les professionnels de Santé (PS) ont leur propre interface pour les CPAM (et cette interface - AmeliPro - a augmenté ses exigences de sécurité récemment). Les. CPAM, ont leur propres collecteurs pour le flux SESAM-Vitale / NOÉMIE et ils ne me semblent pas que cela passe par Viamédis& Co.
votre avatar
Ah OK merci c'était le sens de ma question
:chinois:
votre avatar
Non je n'utilise aucune complémentaire ( c'est mon choix )
votre avatar
Et c'est ton droit !!
votre avatar
Avec l'obligation aux employeurs de fournir une complémentaire à leurs salariés, refuser ou prendre une mutuelle es-ce encore un droit exerçable?
votre avatar
Il doit y avoir moyen de contourner l'obligation.
J'ai deux employeurs, le deuxième ne m'a pas demandé de justificatif quand j'ai refusé la mutuelle obligatoire.
Ce n'est surement pas légal de sa part mais ça a fonctionné.
votre avatar
Je n'ai reçu aucune alerte. Suis-je dans la moitié des français qui n'ont pas été piratés ? Comment peut-on déterminer le tiers utilisé par sa mutuelle ?
votre avatar
C'est indiqué sur la carte d'attestation de tiers payant, au dos de celle-ci, sous le lexique des codes.
votre avatar
Merci :smack: J'ai un logo Kalixia, pas concerné donc.
votre avatar
Je ne suis pas sur, Kalixia est la maison mère de viamedis (Kalixia c'est un réseau de santé et Viamedis un opérateur de tiers payant).
votre avatar
Si Kalixia est INpacté mais que les adhérents ne sont pas informés, c'est pire...
votre avatar
Ma complémentaire santé m'a informé de cette cyberattaque.

« Notre opérateur de tiers-payant Almerys a subi une cyberattaque la semaine dernière. Cette information est parue dans la presse et nous souhaitons vous rassurer sur le sujet. »

Mais à priori je ne dois pas m'inquiéter car :

« Almerys nous certifie que ses systèmes informatiques n'ont pas subi d'intrusion ou de dommage. »

Je me demande bien comment les données personnelles détenues par Almerys se sont retrouvés dans la nature du coup...

Prestataires du tiers payant : le parquet de Paris ouvre une enquête

Fermer