Les données de plus de 33 millions de personnes en France, soit environ la moitié de la population, ont été compromises lors d’une cyberattaque fin janvier, selon l’organisme national de protection de la vie privée.

Commission Nationale Informatique et Libertés (CNIL) annoncé cette semaine, deux compagnies d’assurance maladie, Viamedis et Almerys, lui ont fait part de l’incident.

Il a averti que les données concernent les assurés et leurs familles et comprennent « l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de la compagnie d’assurance maladie ainsi que la couverture contractuelle souscrite ».

Heureusement, contrairement à l’incident qui a frappé la société australienne d’assurance maladie Medibank, les antécédents médicaux et les données de traitement n’ont pas été compromis.

La CNIL a déclaré que les assureurs maladie sont directement responsables de la notification des personnes concernées – mais le public est invité à se méfier des éventuelles tentatives de phishing visant à les frauder.

La CNIL a averti que même si les données de contact des assurés n’étaient pas affectées par la violation, « il est possible que les données violées puissent être combinées avec d’autres informations provenant de violations de données antérieures » pour commettre d’autres délits.

L’agence de protection des données a indiqué que, compte tenu de l’ampleur de l’incident, elle « a décidé de mener immédiatement une enquête pour déterminer précisément si les mesures de sécurité mises en œuvre avant l’incident et en réaction à celui-ci étaient conformes aux obligations du RGPD. »

S’il est prouvé que ces entreprises n’ont pas mis en œuvre les protections de cybersécurité requises par la réglementation de l’UE RGPD (Règlement Général sur la Protection des Données), les entreprises peuvent être condamnées à une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires global, le montant le plus élevé étant retenu.

Une attaque de ransomware contre Medibank a causé d’énormes souffrances en Australie lorsque des criminels ont commencé à publier des données sensibles sur les demandes de soins de santé d’environ 480 000 personnes, y compris des informations sur le traitement de la toxicomanie et l’avortement, à des fins de chantage.

L’Australie, ainsi que la Grande-Bretagne et les États-Unis, ont publiquement identifié le mois dernier l’auteur présumé comme étant le pirate informatique russe Aleksandr Ermakov, et lui ont imposé des sanctions financières et une interdiction de voyager.

Correction : Une version antérieure de cette histoire avait mal orthographié le nom de la compagnie d’assurance maladie d’Almerys.