Fuite Tiers Payant — Février 2024

Effacez vos données Viamedis & Almerys
33 millions d'assurés exposés, dont votre numéro de Sécu.

Vous étiez assuré entre 2022 et 2024 ? Vous étiez très probablement géré par l'un de ces deux opérateurs.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie
Sources confirmées (presse + base spécialisée)
CNIL · enquête février 2024 L'Argus de l'Assurance · suivi crise Acuité · Almerys ciblé News Assurances Pro · chaîne tiers payant Le Comparateur Assurance · 33M Français

Tous les chiffres affichés ci-dessus (33 millions d'assurés exposés, numéro NIR inclus, double cyberattaque Viamedis puis Almerys en février 2024) sont confirmés par ces 5 sources et par l'enquête CNIL ouverte le 6 février 2024.

⚖️ Demande RGPD — Articles 17 et 21
Supprimez vos données chez Viamedis & Almerys
Renseignez l'identité utilisée chez votre mutuelle. Sheeldy envoie la demande aux DPO des deux opérateurs (Viamedis et Almerys). Service gratuit, sans compte.
L'adresse que vous avez fournie lors de votre réservation. C'est elle qui sera citée dans la demande au DPO.
Optionnel — votre numéro de tiers payant ou identifiant complémentaire. Vous le trouvez sur votre carte de mutuelle.

En cliquant « Envoyer la demande », vous autorisez Sheeldy à transmettre en votre nom aux DPO de Viamedis et Almerys une demande de suppression de vos données personnelles (article 17 RGPD) et d'arrêt immédiat de toute prospection commerciale (article 21 RGPD), rédigée à la première personne comme si vous l'écriviez. Vous serez mis en copie de l'email envoyé.

Tiers payant : votre numéro de Sécu chez Viamedis & Almerys a fuité avec 33 millions d'autres.

Viamedis et Almerys, les deux principaux opérateurs de tiers payant français (Harmonie, MGEN, AG2R, Malakoff Humanis…), ont confirmé en février 2024 une cyberattaque exposant 33 millions d'assurés — soit environ un Français sur deux. La spécificité : c'est la première fuite à exposer à grande échelle le numéro NIR (Sécurité sociale), combiné aux nom, prénom et date de naissance. Vous pouvez exiger la suppression de vos données chez ces opérateurs au titre des articles 17 et 21 du RGPD. Sheeldy envoie cette demande à votre place, gratuitement, aux deux DPO.

Section 01 — Les faits

Ce qu'on sait de la fuite Viamedis & Almerys

Fin janvier 2024, Viamedis (premier opérateur de tiers payant français) est victime d'une cyberattaque. Quelques semaines plus tard, Almerys (deuxième opérateur, racheté par Cegedim) subit une attaque similaire. Cause technique : un phishing ciblé sur des professionnels de santé (médecins, pharmaciens), vol d'identifiants pro pour accéder aux extranets Viamedis puis Almerys. Ce n'est donc pas la sécurité interne des opérateurs qui a craqué, mais la chaîne d'authentification des pros de santé en aval.

Assurés exposés
~33 M
Opérateurs touchés
2
Période
Janv – Fév 2024
Cause
Phishing pro santé

La particularité majeure de cette fuite, c'est l'exposition à grande échelle du NIR (numéro de Sécurité sociale). Combiné aux nom, prénom et date de naissance également présents dans la base, le NIR fournit l'identité administrative complète d'un Français sur deux. Cette fuite a été le déclencheur du plan d'action CNIL « infrastructures de santé » 2024-2026, qui impose désormais des audits réguliers et un MFA obligatoire aux opérateurs sous-traitants des mutuelles.

Source officielle
CNIL — Violation de données de deux opérateurs de tiers payant : enquête ouverte
Section 02 — Le détail

Quelles données ont fuité ?

Viamedis et Almerys ont publié la liste précise des champs exposés. La bonne nouvelle : aucune donnée médicale individuelle (diagnostics, ordonnances, sommes remboursées) n'est sortie. La mauvaise : le NIR, combiné à l'identité complète, est un trésor pour l'usurpation administrative.

— Exposées

Identité complète (nom + prénom + date de naissance)Identification administrative sans floutage
Numéro NIR (Sécurité sociale)Identifiant unique à vie, impossible à révoquer
Nom de la complémentaire santéOpérateur tiers payant et mutuelle exposés
Niveau de garanties souscritesIndicateur indirect de votre niveau de revenus

— Préservées

Remboursements détaillés et actes médicauxAucune somme ni soin ne sont sortis
Données médicales (diagnostics, ordonnances)Confidentialité médicale préservée
Données bancaires + mots de passeAucun mouvement financier direct possible
Section 03 — Vos droits

Ce que Sheeldy demande aux DPO Viamedis et Almerys

Cas particulier des opérateurs de tiers payant — Viamedis et Almerys ne sont pas votre mutuelle directement, mais des sous-traitants techniques de la chaîne du tiers payant. Sheeldy adresse la demande RGPD aux deux DPO simultanément (dpo@viamedis.fr et dpo@almerys.com), pour couvrir le risque d'avoir été géré par l'un ou l'autre selon votre mutuelle.

Sheeldy envoie une demande cumulative invoquant deux articles à la fois :

Ce qui est garanti immédiatement (art. 21) : l'arrêt de toute prospection ou profilage. Les opérateurs n'ont pas le droit de refuser.

Ce qui dépend des obligations sectorielles (art. 17) : la suppression complète de votre dossier. Les opérateurs peuvent conserver certaines données pour des obligations légales liées aux remboursements de santé. En pratique, l'essentiel des données identifiantes (notamment le NIR) doit être supprimé après cessation de la relation contractuelle.

Les opérateurs disposent d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.

Remonter au formulaire

Questions fréquentes — Fuite Viamedis & Almerys

Comment vérifier si ma mutuelle utilise Viamedis ou Almerys comme tiers payant ?
Ce sont les deux principaux opérateurs de tiers payant en France, utilisés par la majorité des complémentaires santé (Harmonie, MGEN, AG2R, Malakoff Humanis, etc.). Pour vérifier précisément, regardez votre carte de tiers payant : le logo de l'opérateur y figure généralement en haut à droite. Vous pouvez aussi appeler le service client de votre mutuelle. Si vous étiez assuré entre janvier 2022 et janvier 2024, vous étiez très probablement géré par l'un des deux.
Une carte Vitale peut-elle être clonée à partir d'un numéro NIR seul ?
Non, pas directement. La carte Vitale est sécurisée par une puce et l'authentification se fait via la photo et la date de naissance combinées. En revanche, le NIR exposé peut être utilisé pour des fraudes administratives indirectes : demande de duplicata de carte Vitale par voie postale en cas de complicité interne, ouverture de comptes CAF frauduleux, ou usurpation pour des prestations sociales (CMU, RSA).
Mes remboursements de santé détaillés ont-ils fuité ?
Non. Seules les données d'identification, le NIR et le niveau de garanties souscrit ont été exposés. Aucune information sur les soins reçus, les diagnostics, les ordonnances, ou les sommes remboursées par votre mutuelle n'a fuité. C'est la seule bonne nouvelle de cette fuite.
Puis-je demander à ma mutuelle de changer d'opérateur tiers payant ?
Légalement non, ce n'est pas vous qui choisissez l'opérateur — c'est votre mutuelle. En revanche, vous pouvez écrire à votre mutuelle en demandant explicitement de quels opérateurs elle utilise les services et quelles garanties de sécurité ont été ajoutées depuis février 2024. Une réponse non satisfaisante peut motiver une résiliation au titre du manquement à l'obligation d'information.
Sheeldy envoie-t-il vraiment la demande à Viamedis et Almerys ?
Oui. Une fois la confirmation email validée, Sheeldy envoie une demande RGPD au DPO Viamedis (dpo@viamedis.fr) et également à Almerys (dpo@almerys.com). La demande invoque cumulativement les articles 17 (effacement de vos données chez l'opérateur) et 21 (opposition à toute prospection ou profilage commercial).
Que peut faire la CNIL contre Viamedis et Almerys ?
La CNIL a ouvert une enquête en février 2024. Elle peut infliger des sanctions financières (jusqu'à 4 % du chiffre d'affaires annuel mondial), exiger des mesures correctives techniques, et imposer une notification individuelle aux 33 millions de personnes touchées. À ce jour, aucune sanction publique n'a encore été prononcée — l'instruction est toujours en cours.
Le service Sheeldy est-il payant pour cette demande ?
Non, la demande de suppression de données post-fuite est entièrement gratuite. Sheeldy propose ce service en réaction directe aux fuites récentes pour permettre à chacun d'exercer ses droits RGPD facilement. Aucun compte, aucune carte bancaire requise, juste votre email.
Que devient mon adresse email après cette demande ?
Sheeldy conserve votre demande pendant 3 ans dans une base isolée (pour la traçabilité juridique de l'envoi au DPO), puis la supprime automatiquement. Votre adresse n'est jamais ajoutée à une mailing list, jamais revendue, jamais utilisée pour autre chose que cette demande précise. Notre seul email vers vous : la confirmation d'envoi au DPO.
Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom aux DPO de Viamedis et Almerys une demande d'effacement et d'opposition à la prospection (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : Viamedis, Almerys et, le cas échéant, la CNIL en cas de recours (plan d'action « infrastructures de santé » 2024-2026). Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.