Almerys de nouveau piraté : 15 millions de numéros de Sécu en jeu, le tiers-payant à nouveau au cœur de la tempête
Deux ans après l'incident à 33 millions de victimes, Almerys est à nouveau dans l'œil du cyclone. Le prestataire de tiers-payant des mutuelles a confirmé fin mai 2026 une nouvelle fuite de données touchant Alan, AG2R La Mondiale, Aesio mutuelle et Intériale. À l'origine : le piratage du compte d'un seul professionnel de santé. Une mécanique que tout DPO d'un responsable de traitement du secteur santé doit aujourd'hui considérer comme un scénario par défaut.
Ce qui s'est passé
Vendredi 22 mai 2026, Almerys découvre une compromission de son site de délivrance des prises en charge, utilisé pour les prestations audio, optique et hospitalières. La plateforme est immédiatement mise hors service. Les données exfiltrées comprennent l'état civil, le numéro de Sécurité sociale, le numéro de contrat et le nom de l'assureur des personnes affectées. Les coordonnées bancaires, les informations de contact, les mots de passe et les données de santé ne sont, à ce stade, pas concernés.
Sur un forum spécialisé, un acteur identifié sous le pseudonyme « Lagui » revendique l'exfiltration de 15 millions de numéros de Sécurité sociale. Le volume réel reste à confirmer : Alan parle d'un « périmètre encore flou ». Le parquet de Paris a ouvert une enquête préliminaire, confiée à la brigade de lutte contre la cybercriminalité. Plusieurs mutuelles ont déjà publié des communications à leurs adhérents — Harmonie Mutuelle, qui n'utilise pas la solution de tiers-payant d'Almerys, a tenu à préciser qu'elle n'était pas concernée.
La cause technique tient en une phrase d'AG2R La Mondiale : « le piratage du compte d'un professionnel de santé ». Un seul identifiant compromis, dans la chaîne de soins, suffit donc à exposer potentiellement des millions de personnes. Le scénario reproduit presque exactement la mécanique de février 2024, où le double incident Almerys-Viamedis avait conduit la CNIL à dénombrer 33 millions de victimes.
Pourquoi c'est important
L'affaire Almerys n'est pas seulement un incident sectoriel : elle illustre trois faiblesses structurelles que la CNIL voit revenir en boucle.
Premièrement, la dépendance aux sous-traitants. Alan, AG2R La Mondiale ou Aesio ne traitent pas eux-mêmes la prise en charge — ils délèguent à Almerys. C'est exactement le cas d'école de l'article 28 du RGPD : le responsable de traitement reste responsable de la sécurité des données qu'il confie. La cartographie et l'audit des sous-traitants ne sont pas un exercice théorique, ils sont la première ligne de défense.
Deuxièmement, le maillon humain. Un compte professionnel piraté — vraisemblablement par hameçonnage ou réutilisation de mot de passe — ouvre l'accès à un volume massif de données. C'est le rappel brutal que l'authentification forte (MFA, restriction par IP, détection d'anomalies) n'est plus optionnelle dans un système qui manipule des numéros de Sécurité sociale. La CNIL avait déjà fait passer le message en imposant le MFA dans le cadre des nouvelles méthodologies de référence pour la recherche en santé.
Troisièmement, le contexte 2025-2026. La CNIL a enregistré 6 167 violations de données en 2025, un record absolu. L'affaire allemande des hôpitaux compromis via leur prestataire de facturation quelques jours plus tôt confirme un schéma européen : les acteurs santé sont devenus une cible de premier choix, et la chaîne de sous-traitance leur talon d'Achille.
Ce que ça change pour les organisations
Pour les responsables de traitement utilisant un tiers-payant ou tout prestataire similaire, trois actions ne peuvent plus attendre.
D'abord, cartographier l'exposition. Quels sous-traitants accèdent à des numéros de Sécurité sociale ou à des données de santé ? Quels comptes utilisateurs sont actifs côté prestataire ? Quelle est la politique de rotation et de révocation ? Le guide RGPD et Santé de Leto détaille les obligations renforcées qui pèsent sur ce secteur.
Ensuite, tester la procédure d'incident. L'article 33 du RGPD impose une notification à la CNIL sous 72 heures dès la prise de connaissance d'une violation. Pour les mutuelles affectées par Almerys, le compteur tourne dès vendredi dernier — pas à partir du moment où le périmètre exact sera connu. Le guide Leto sur la marche à suivre en cas de violation détaille la chronologie et les pièces du dossier de notification.
Enfin, renégocier les DPA. Les contrats de sous-traitance d'avant 2024 prévoient rarement les obligations attendues aujourd'hui : MFA imposé, journalisation horodatée, délai de notification au responsable, plan de continuité testé. Un incident comme celui d'Almerys est l'occasion contractuelle de remettre ces clauses à jour.
Ce que Leto pense de cette décision
La sidération n'a plus sa place. Quand un même prestataire est piraté deux fois en deux ans, dans le même secteur, par le même type de vecteur (compte professionnel compromis), le problème n'est plus celui du prestataire — c'est celui de la gouvernance des mutuelles qui continuent à dépendre de lui sans exiger de garanties techniques opposables. Les DPO du secteur santé doivent désormais traiter la question des prestataires comme on traite un risque financier : avec un plan de réduction d'exposition, pas avec une note de service. Et pour les personnes concernées qui découvrent leur numéro de Sécu en clair sur un forum, la procédure de réaction à 72 heures n'est pas un confort — c'est une digue contre l'usurpation d'identité.
Sources : ZDNet — Le spécialiste de la santé Almerys à nouveau victime d'un piratage, CNIL — Violations de données personnelles.
