Almerys : quand l'exposition des numéros de Sécu transforme une fuite de santé en risque de fraude identitaire

Un numéro de Sécurité sociale n'est pas un mot de passe qu'on change après une fuite. C'est une donnée permanente, liée à une identité pour la vie entière. Quand il est exposé à grande échelle — comme lors de la dernière intrusion chez Almerys —, les conséquences pour les personnes concernées peuvent se faire sentir pendant des années. C'est l'alerte que lance la communauté internationale de la protection des données face à cet incident.

Ce qui s'est passé

Fin mai 2026, Almerys — l'un des principaux intermédiaires du tiers-payant en France, qui gère les remboursements pour le compte de nombreuses mutuelles — a subi une intrusion sur l'un de ses portails d'autorisation. L'attaquant a accédé au système en compromettant le compte d'un professionnel de santé, pour en extraire des données sensibles incluant des équivalents de numéros de Sécurité sociale. Jusqu'à 15 millions de NIR (Numéro d'Inscription au Répertoire) auraient été exposés, touchant les assurés d'Alan, AG2R La Mondiale, Aesio mutuelle et Intériale. Le parquet de Paris a ouvert une enquête pénale.

Pour l'analyse complète de l'incident initial, Leto avait publié un premier article sur la fuite Almerys dès les premières révélations. Ce qui retient l'attention aujourd'hui, c'est la dimension fraude identitaire que la communauté internationale met en avant.

Pourquoi l'exposition du NIR est particulièrement grave

Le NIR français — ce numéro à 13 chiffres encodant le sexe, l'année et le mois de naissance, le département, et l'ordre de naissance — est l'une des données d'identité les plus puissantes qui existent. À la différence d'un mot de passe ou d'un numéro de carte bancaire, il est impossible à modifier. Une fois exposé, il reste exploitable indéfiniment.

Combiné aux autres données souvent présentes dans les dossiers du tiers-payant (nom, prénom, date de naissance, adresse, informations de santé), le NIR permet à un cybercriminel de :

• Ouvrir des comptes bancaires ou souscrire des crédits sous une identité usurpée
• Créer des sociétés fictives au nom de la victime — un cas concret documenté dans notre article sur l'usurpation d'identité après vol de données
• Frauder les prestations sociales ou accéder à des soins médicaux au nom d'un tiers
• Préparer des campagnes de phishing ultra-personnalisées en s'appuyant sur les données de santé

Ce risque n'est pas hypothétique. En 2025, la CNIL a enregistré 6 167 violations de données en France : les personnes touchées par des fuites successives voient leur profil d'exposition s'aggraver à chaque incident, les données se combinant pour reconstituer des identités complètes.

Ce que ça change pour les organisations — les trois obligations clés

Notification CNIL sous 72 heures (article 33 RGPD). Les mutuelles qui ont confié leurs données à Almerys restent responsables de traitement vis-à-vis de leurs assurés. Même si Almerys est leur sous-traitant, la compromission de données déclenche l'obligation de notification CNIL dès la prise de connaissance — pas depuis la découverte par le prestataire. Notre guide sur la gestion des violations de données détaille chaque étape de la réponse.

Communication directe aux personnes concernées (article 34 RGPD). Lorsque le risque pour les individus est élevé — et l'exposition de NIR à grande échelle remplit clairement ce critère —, le RGPD impose une notification aux personnes concernées. Cette communication doit être précise sur les données exposées et les mesures concrètes à adopter, pas une simple mention générique d'un "incident de sécurité".

Audit des sous-traitants (article 28 RGPD). La faille d'entrée — un compte de professionnel de santé sans MFA sur un portail donnant accès à des millions de données — soulève une question directe pour chaque mutuelle : avait-elle vérifié les mesures de sécurité d'Almerys avant l'incident ? Le contrat de sous-traitance prévoyait-il des exigences minimales d'authentification forte ? Notre guide d'audit des sous-traitants RGPD fournit une méthodologie pour évaluer et encadrer vos prestataires.

Ce que Leto pense de cette décision

La fuite Almerys n'est pas un accident isolé : c'est le reflet d'un risque structurel dans l'écosystème du tiers-payant. Ces intermédiaires concentrent des données extrêmement sensibles sur des dizaines de millions de Français tout en restant souvent en dehors du périmètre d'audit des équipes DPO des mutuelles. Quand un portail d'accès à 15 millions de NIR peut être compromis par un seul compte sans MFA, c'est l'ensemble de la chaîne de responsabilité qui est en cause.

Pour les DPO des organismes de complémentaire santé, la leçon est claire : cartographier précisément les données transmises à chaque prestataire de tiers-payant, exiger contractuellement le MFA sur tous les accès aux portails sensibles, et tester les procédures de réponse aux incidents avant qu'un tel scénario se produise. La fraude identitaire se matérialise souvent bien après la violation initiale — la fenêtre pour agir est maintenant.

Sources : DataBreaches.net – French Health Payments Breach Exposed ID Data, Fuels Fraud Fears