I) Sur la qualification prudente d’une fuite alléguée non encore publiquement confirmée :
Depuis le 21 mai 2026, une nouvelle alerte vise Almerys à la suite de la diffusion d’une base de données présentée comme issue de ses systèmes d'information.
La première exigence consiste à qualifier exactement la situation : certaines publications évoquent une base attribuée à Almerys sans confirmation publique définitive de son authenticité par l’entreprise, tandis que d’autres présentent déjà l’incident comme une fuite confirmée.
Cette divergence n’est pas anecdotique. Elle impose une ligne de crête : ne pas ériger une allégation crédible en fait définitivement acquis, mais ne pas réduire non plus à un simple bruit médiatique la circulation d’un fichier décrit comme portant sur des données d’une particulière sensibilité.
Selon les éléments diffusés publiquement, la base évoquée comprendrait plus de 44 millions de lignes et plus de 15 millions de numéros de sécurité sociale, ainsi que des noms, prénoms, dates de naissance, numéros de contrats santé, organismes complémentaires et périodes de couverture.
À elle seule, cette description suffit à faire naître un enjeu sérieux de sécurité, de fraude et d’usurpation.
II) Sur la proximité matérielle avec la précédente violation de données révélée en février 2024 :
Le 7 février 2024, la CNIL annonçait avoir été informée par Viamedis et Almerys d’une violation de données touchant plus de 33 millions de personnes.
L’autorité précisait alors que les données concernées comprenaient notamment l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé et les garanties du contrat souscrit.
Cette chronologie modifie profondément la lecture de l’alerte actuelle.
Lorsqu’une nouvelle base attribuée à Almerys circule à nouveau avec des catégories de données qui recoupent le noyau même de celles déjà compromises en 2024, il ne s’agit plus seulement d’un incident allégué supplémentaire : il s’agit d’une répétition qui s’inscrit dans un historique documenté de violation massive.
L’élément distinctif de ce dossier tient donc moins à la seule annonce d’un volume élevé qu’à la répétition plausible d’une exposition portant sur la même typologie de données. C’est cette proximité matérielle qui rend la nouvelle alerte juridiquement et institutionnellement significative.
III) Sur le risque aggravé résultant de l’exposition du numéro de sécurité sociale :
Le numéro de sécurité sociale occupe une place singulière parmi les données compromises évoquées.
Associé à l’identité civile, à la date de naissance et à des éléments relatifs à la couverture santé, il constitue une donnée particulièrement structurante pour la fraude et l’ingénierie sociale.
Le numéro de sécurité sociale est absolument impossible à changer, même lorsqu'il a fuité.
La CNIL rappelait déjà en 2024 que les personnes concernées devaient se montrer vigilantes face aux sollicitations relatives aux remboursements de santé et surveiller les activités inhabituelles sur leurs comptes, en soulignant que les données issues d’une violation pouvaient être recoupées avec d’autres données provenant de fuites antérieures.
Une telle fuite n’a pas besoin d’inclure des données bancaires ou des données médicales détaillées pour devenir immédiatement dangereuse.
Le tiers payant en matière de santé santé concentre des informations à très forte valeur opérationnelle pour des usages malveillants.
IV) Sur la portée institutionnelle d’une nouvelle alerte avant toute sanction publique connue :
Le 7 février 2024, la CNIL indiquait que, « devant l’ampleur de la violation », sa présidente avait décidé de mener « très rapidement » des investigations afin de déterminer si les mesures de sécurité mises en œuvre avant l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD :
« Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD. » (CNIL.fr, Violation de données de deux opérateurs de tiers payant : la CNIL ouvre une enquête et rappelle aux assurés les précautions à prendre, 07 février 2024)
Or, au moment où la nouvelle alerte crédible surgit en mai 2026 autour d’Almerys, aucune sanction publique n’a encore été prononcée à ce sujet.
Cela met en lumière une difficulté institutionnelle qu’il serait artificiel de minimiser. Le temps de l’enquête et, le cas échéant, celui de la sanction, ne coïncide pas avec le temps de circulation, de republication et de réexploitation des données compromises.
Sans préjuger ni de l’issue des investigations en cours ni de l’authenticité finale du fichier actuellement diffusé, la chronologie suffit déjà à poser une question de fond.
Comment une nouvelle alerte portant encore sur des numéros de sécurité sociale et des données de couverture santé peut-elle ressurgir avec un tel degré de vraisemblance alors qu’une enquête annoncée comme très rapide avait été ouverte plus de deux ans auparavant sur des faits de même nature ?
Pour les victimes de la première fuite confirmée, il est à ce jour toujours difficile d'être indemnisé tant que la CNIL n'a pas fait usage de ses pouvoirs d'enquête pour acter si Almerys avait commis des négligences dans la mise en œuvre des mesures de sécurité des données personnelles, ce qui constituerait une violation du RGPD si cela était avéré.
V) Sur l’adéquation des mesures techniques et organisationnelles :
Aux termes de l'article 32 du RGPD, le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque
Il serait excessif d’affirmer, sans réserve, qu’Almerys fait aujourd’hui l’objet d’une seconde violation définitivement établie. Le fichier diffusé peut encore, en théorie, correspondre à une republication, à une consolidation, à un retraitement ou à une nouvelle exploitation de données déjà compromises antérieurement.
Mais cette prudence n’efface pas l’essentiel. Si les faits étaient confirmés comme distincts du précédent de 2024, ils reposeraient directement la question de l’adéquation concrète des mesures techniques et organisationnelles exigées par le RGPD, ainsi que celle de la capacité du responsable de traitement et, le cas échéant, de ses sous-traitants, à démontrer une sécurité réellement adaptée au risque, après une fuite avérée aux conséquences déjà dramatiques.
VI) Sur les droits des personnes concernées et les questions de responsabilité :
Les personnes concernées ne sont pas dépourvues de droits face à une violation de données. En cas de risque élevé pour leurs droits et libertés, elles doivent être informées de la violation, et elles peuvent également adresser une réclamation à l’organisme concerné ainsi que déposer une plainte auprès de la CNIL. Dans le contexte des précédentes fuites touchant Viamedis et Almerys, un dispositif de plainte avait en outre été mis à disposition des victimes via Cybermalveillance et les services d’enquête.
Sous l’angle indemnitaire, l’article 82 du RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a droit à réparation contre le responsable du traitement ou le sous-traitant, selon les conditions prévues par ce texte.
À ce stade, il serait prématuré de tirer des conclusions définitives sur les responsabilités encourues dans la nouvelle affaire alléguée. Mais si les faits étaient confirmés, la question de la preuve du dommage, de l’adéquation des mesures de sécurité et de la chaîne des intervenants se poserait nécessairement.
Le cabinet de Maître Jérémy ROCHE intervient régulièrement en matière de violations de données personnelles, qu’il s’agisse d’apprécier les obligations des acteurs en cause, d’assister les personnes concernées dans leurs démarches auprès des organismes et de la CNIL, ou d’évaluer les conditions d’une action indemnitaire lorsque un dommage peut être caractérisé.
La protection de votre vie privée sur internet n’est pas une option : c’est un droit fondamental qu’il est essentiel de faire respecter.
Protégez vos données, et exercez vos droits.
Me Jérémy ROCHE
Avocat au barreau de BEZIERS
https://jeremyroche-avocat.fr/
Sources :
Crédits photo : Unsplash - GuerrillaBuzz
Pas de contribution, soyez le premier