Skip to content
Retour au blog
fuites-données santé tiers-payant Alan Almerys chaîne-fournisseur

Alan touchée via Almerys : 15 millions de NIR en vente

Le 23 mai 2026, Alan alerte ses adhérents d'une fuite chez Almerys, son prestataire de tiers payant. 44 millions de lignes en vente, 15,45 millions de NIR uniques.

Thomas Ferreira 21 min de lecture

Le 23 mai 2026 à 01h50, Alan publie une notice d’incident sur son blog corporate (alan.com/fr-fr/blog/tout-alan/a/incident-securite-almerys) et envoie un email à ses entreprises clientes. La mutuelle digitale française, valorisée 5 milliards d’euros deux mois plus tôt, n’a pas été piratée. C’est son prestataire de tiers payant, Almerys, qui s’est fait dérober un fichier dont le pirate a annoncé la mise en vente deux jours auparavant sur un forum spécialisé.

Le volume revendiqué est massif : 44 millions de lignes, contenant 15,45 millions de numéros de sécurité sociale uniques, selon les éléments rapportés par Next et le tracker spécialisé FrenchBreaches. Pour comparaison, la fuite Viamedis/Almerys de février 2024 avait été chiffrée par la CNIL à 33 millions de personnes. Si la base revendiquée est authentique — Almerys ne l’a pas confirmé publiquement à la date de publication — l’incident de mai 2026 est du même ordre de grandeur que la plus grande fuite de données de santé jamais documentée en France.

Cet article reconstitue ce que l’on sait à date : la chronologie des trois jours qui ont précédé l’annonce d’Alan, l’identité d’Almerys et la chaîne de sous-traitance, les données exposées et celles qui ne le sont pas (selon Alan), les risques concrets pour les personnes concernées, les leçons à tirer pour les responsables de traitement qui s’appuient sur des sous-traitants critiques, et la question récurrente que pose la deuxième attaque réussie contre Almerys en vingt-sept mois.

Ce que l’on sait à date

ÉlémentInformation
Date de l’incident détecté22 mai 2026 (notification Almerys → Alan)
Date de la revendication publique21 mai 2026 (forum cybercriminel)
Date de la communication Alan23 mai 2026, 01h50
Entité directement compromiseAlmerys (sous-traitant tiers payant), pas Alan
Volume revendiqué par le pirate44 millions de lignes, 15,45 millions de NIR uniques
Volume confirmé par Almerysnon confirmé publiquement à date
Données exposéesétat civil, NIR, numéro de contrat, nom assureur, dates de couverture
Données non exposées (selon Alan)bancaires, contact, mots de passe, données de santé
Notifications réglementairesACPR notifiée, CNIL en cours
Plateforme Almerysfermée (site de prise en charge)
Service Alan aux adhérentsmaintenu, remboursements continus

Alan et Almerys : comprendre qui détient quoi

Alan, mutuelle digitale française

Fondée en 2016, Alan est une mutuelle santé entièrement digitale, agréée par l’ACPR comme entreprise d’assurance. L’entreprise revendique environ 1 million d’assurés (salariés, indépendants, retraités) et 740 collaborateurs. En mars 2026, Alan a annoncé une valorisation de 5 milliards d’euros lors d’un tour de financement (TechCrunch, mars 2026).

Alan se distingue par une promesse : la simplicité, une application mobile, une communication transparente. La communication publiée sur l’incident est d’ailleurs cohérente avec cette posture : claire, datée, sans euphémisme — Alan reconnaît immédiatement que le risque ne peut être circonscrit et choisit par précaution d’informer l’ensemble des adhérents avant même de disposer du périmètre exact.

Almerys, opérateur de tiers payant méconnu

Almerys, basée à Clermont-Ferrand, est un opérateur de tiers payant. Concrètement, quand vous présentez votre carte Vitale chez un pharmacien ou un médecin, la mécanique qui permet à la mutuelle de prendre en charge sa part directement, sans avance de frais de votre part, transite par un opérateur technique de ce type. Almerys revendique travailler avec plus de 300 000 professionnels de santé et gère le tiers payant pour de nombreuses complémentaires santé, dont Alan.

Le client final — vous, l’assuré — ne choisit jamais son opérateur de tiers payant. C’est la mutuelle qui contractualise. C’est précisément pour cette raison que l’incident touche les adhérents d’Alan sans qu’ils aient eu une seule interaction directe avec Almerys, sans qu’ils aient signé un consentement Almerys, sans qu’ils aient été informés que leurs données transitaient par cette infrastructure.

La chaîne de sous-traitance, au sens du RGPD

Au sens du Règlement général sur la protection des données, Alan est responsable de traitement et Almerys est sous-traitant (article 28). Cela signifie deux choses :

  1. Vis-à-vis des assurés, Alan reste le point de contact et l’entité responsable. C’est Alan qui doit informer ses adhérents (article 34 RGPD), pas Almerys.
  2. Vis-à-vis de la CNIL, Alan et Almerys peuvent être sanctionnés séparément pour des manquements distincts : Almerys pour la défaillance de sécurité de sa plateforme (article 32), Alan pour le choix et la supervision insuffisante de son sous-traitant (article 28(1)).

Cette répartition est juridiquement claire mais opérationnellement frustrante : Alan, qui s’est doté d’une sécurité interne réputée solide, voit ses adhérents exposés par la faille d’un tiers sur lequel elle n’a qu’un contrôle contractuel. C’est l’angle mort structurel de toutes les organisations qui s’appuient sur des prestataires critiques.

Chronologie : trois jours en mai 2026

Mercredi 21 mai 2026 : la revendication

Un pirate publie sur un forum cybercriminel spécialisé une annonce de vente. L’offre : un fichier issu d’Almerys, contenant 44 millions de lignes, dont 15,45 millions de numéros de sécurité sociale uniques. L’annonce est repérée par les trackers spécialisés FrenchBreaches et Cyberattaque.org.

Le pirate met en avant un argument de vente troublant : « Souvent, tous les membres d’une même famille sont liés à un seul numéro de sécurité sociale, ce qui permet un accès complet aux informations familiales » — citation rapportée par les médias spécialisés. Cette précision suggère que le pirate connaît la structure du fichier et la logique du tiers payant français (où le NIR de l’assuré principal porte les droits de l’ensemble du foyer).

Vendredi 22 mai 2026 : Almerys informe Alan

Almerys notifie Alan d’un « incident de sécurité ayant touché leur plateforme ». Le délai entre la mise en vente publique (21 mai) et l’information du client (22 mai) interroge : Almerys a-t-il détecté l’incident en interne avant la revendication, ou a-t-il appris l’attaque par la publication sur le forum ? Aucun élément public ne tranche cette question à la date de publication.

Selon la communication d’Alan, l’incident serait dû à « une intrusion frauduleuse sur le site de prise en charge d’Almerys ». La nature précise du vecteur d’intrusion — phishing d’identifiants, vulnérabilité applicative, compromission d’un poste interne — n’est pas détaillée publiquement.

Samedi 23 mai 2026 : Alan publie et notifie les autorités

À 01h50, Alan publie sa notice d’information sur son blog corporate. Un email part vers les responsables RH des entreprises clientes pour qu’ils relaient l’information à leurs salariés assurés.

Alan annonce simultanément :

  • La notification à l’ACPR (Autorité de contrôle prudentiel et de résolution, régulateur des assurances) effectuée immédiatement.
  • La préparation de la notification à la CNIL, en cours.
  • La continuité des services Alan : application accessible, remboursements maintenus, données de santé non concernées.
  • La fermeture du site de prise en charge d’Almerys, ce qui peut provoquer ponctuellement des avances de frais demandées aux assurés (Alan recommande de retarder les demandes de remboursement quand c’est possible, en attendant le retour à la normale).

Données concernées : ce qui est exposé, ce qui ne l’est pas

Selon la communication officielle d’Alan, voici la répartition.

Données exposées

  • État civil : nom, prénom, date de naissance, rang de naissance
  • Numéro de sécurité sociale (NIR), identifiant unique et permanent
  • Numéro de contrat d’assurance santé
  • Nom de l’assureur santé (Alan, en l’occurrence)
  • Dates de début et de fin de couverture

Données non exposées (selon Alan)

  • Informations bancaires (IBAN, RIB, coordonnées de carte)
  • Coordonnées de contact : adresse postale, numéro de téléphone, email
  • Mots de passe et identifiants Alan
  • Données de santé : soins, remboursements, diagnostics, prescriptions

Cette répartition est cohérente avec ce que stocke un opérateur de tiers payant : l’identité de l’assuré et la nature de ses droits (couverture, garanties), pas les détails médicaux qui restent chez l’assureur ou chez le professionnel de santé.

Pourquoi le NIR est l’élément le plus sensible

Le numéro de sécurité sociale (NIR pour Numéro d’inscription au répertoire) est un identifiant immuable. Contrairement à un mot de passe, à une carte bancaire ou à un email, il ne peut pas être changé. Une fois compromis, il reste exploitable indéfiniment.

Le NIR croisé avec l’état civil permet :

  • D’usurper l’identité administrative d’une personne dans des démarches publiques.
  • De crédibiliser une tentative de phishing ciblé : un email frauduleux qui mentionne votre NIR et votre date de naissance passe le premier filtre de méfiance.
  • De tenter une fraude au tiers payant ou à la complémentaire santé.
  • De compléter des bases de données déjà compromises lors d’autres fuites (combinaison des fuites de 2024, Viamedis/Almerys/MGEN, et de mai 2026).

C’est ce dernier point qui fait du NIR la donnée la plus problématique sur le long terme. Le risque ne disparaît pas dans six mois ; il reste activable pendant la durée de vie de la personne.

Le mode opératoire supposé

À la date de publication, ni Almerys ni les autorités n’ont précisé publiquement le vecteur exact de l’intrusion de mai 2026. Alan parle d’une « intrusion frauduleuse sur le site de prise en charge » sans détailler.

Deux hypothèses dominent dans les analyses techniques publiées par la presse spécialisée :

Hypothèse 1 : usurpation d’identifiants de professionnels de santé

C’est le mode opératoire confirmé lors de l’attaque de février 2024 contre Viamedis et Almerys. Les attaquants avaient compromis des comptes de médecins et pharmaciens via du phishing ou du credential stuffing, puis utilisé ces accès légitimes pour aspirer massivement les données via le portail de tiers payant. Le directeur général de Viamedis, Christophe Candé, avait alors confirmé publiquement : « Il ne s’agit pas d’une attaque par ransomware », mais d’une exfiltration via des accès légitimes détournés.

Si la même technique a été employée en mai 2026, la question structurelle est lancinante : qu’est-ce qui a réellement changé chez Almerys entre février 2024 et mai 2026 ? L’authentification multifacteur (MFA) a-t-elle été déployée sur les accès des professionnels de santé ? Si oui, comment a-t-elle été contournée ? Si non, pourquoi ?

Hypothèse 2 : vulnérabilité applicative ou compromission interne

Une intrusion « sur le site de prise en charge » peut aussi désigner l’exploitation d’une faille logicielle (injection SQL, contournement d’authentification, vulnérabilité d’une dépendance) ou la compromission d’un compte interne avec privilèges étendus. À ce stade, rien ne permet de privilégier une hypothèse ou l’autre.

Le point commun aux deux scénarios : la défense en profondeur a échoué. Soit l’authentification frontale n’était pas suffisante, soit la segmentation interne (qui peut requêter quoi, à quel débit, avec quelle journalisation et quelle alerte) n’a pas levé d’alerte alors que 44 millions de lignes ont été exfiltrées. Pour donner une idée : exfiltrer 44 millions de lignes prend, même à débit modeste, un volume de requêtes qui devrait déclencher des alertes de detection-anomaly bien avant la fin.

Risques concrets pour les personnes concernées

Phishing ciblé immédiat

Le risque le plus probable à court terme est une vague de phishing exploitant la fuite. Un email ou SMS du type :

« Bonjour M. Dupont, nous avons détecté une anomalie sur votre contrat Alan numéro X. Pour vérifier votre identité et débloquer vos remboursements, merci de vous connecter via le lien sécurisé suivant. NIR : 1 75 04 75 … »

Le NIR et le numéro de contrat dans le message rendent l’arnaque crédible. L’utilisateur moyen, même attentif, peut être trompé. Pour comprendre les techniques modernes de phishing, voir notre glossaire phishing et notre article sur les nouvelles formes de phishing.

Usurpation d’identité administrative

Avec le NIR, le nom et la date de naissance, il devient possible de tenter des démarches administratives au nom de la victime : demande d’attestation de droits, ouverture de comptes auprès d’organismes publics, sollicitation d’aides sociales. Les administrations utilisent souvent le NIR comme clé d’identification ; certaines ne croisent pas avec un second facteur.

Fraude au tiers payant et à la complémentaire santé

Connaître le numéro de contrat et la mutuelle d’une personne permet, dans certains schémas, de tenter une facturation frauduleuse en se présentant comme professionnel de santé. La CNIL avait déjà alerté sur ce risque dans son communiqué de février 2024.

Effet de cumul avec les fuites précédentes

Les attaquants ne travaillent pas en silos. Les données de mai 2026 vont être croisées avec celles de février 2024 (Viamedis/Almerys), avec Cegedim Santé (15 millions de dossiers début 2026), France Travail (43 millions de données), et avec les fuites Bouygues Telecom, Pôle Emploi, Pajemploi, OFII, OM, et autres. Chaque nouvelle fuite enrichit une base globale qui rend les attaques personnalisées de plus en plus crédibles.

Cadre légal : RGPD articles 28, 32 et 34

L’incident illustre concrètement trois articles du RGPD que les organisations connaissent souvent mal.

Article 28 — Responsabilité du recours à un sous-traitant

Le responsable de traitement (Alan) « ne fait appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ». En cas d’incident, la CNIL peut sanctionner Alan pour défaut de diligence dans le choix et la supervision d’Almerys, indépendamment des sanctions contre Almerys lui-même.

Article 32 — Sécurité du traitement

Tant le responsable de traitement que le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées. Pour Almerys, cela inclut typiquement : MFA sur les accès des professionnels, détection des anomalies, segmentation, journalisation, tests d’intrusion réguliers.

Article 34 — Notification aux personnes concernées

Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés, le responsable de traitement communique la violation à la personne concernée « dans les meilleurs délais ». Alan a respecté cette obligation en publiant sa notice 24 heures après avoir été informé. La notification individuelle viendra dans un second temps, une fois la liste précise des personnes concernées disponible.

Pour aller plus loin sur la conformité RGPD, voir notre page sur le RGPD et notre page sur NIS2 — cette dernière directive renforce justement les obligations relatives à la sécurité de la chaîne fournisseur.

Le précédent de février 2024 : pourquoi ça recommence

L’incident de mai 2026 est la deuxième attaque réussie contre Almerys en vingt-sept mois. La précédente, en février 2024, est documentée dans notre analyse de la fuite Viamedis/Almerys. Les similitudes sont frappantes :

  • Même type de plateforme touchée : le portail de tiers payant.
  • Même type de données exposées : état civil, NIR, numéro de contrat, garanties.
  • Même résultat : exfiltration massive sans détection en temps réel.

Les différences sont moins encourageantes. En 2024, Almerys avait communiqué tardivement et le vecteur (usurpation d’identifiants de professionnels de santé) avait été identifié et publiquement reconnu. En 2026, la nature exacte de l’intrusion reste opaque à la date de publication. Le délai entre la mise en vente publique (21 mai) et l’information d’Alan (22 mai) suggère qu’Almerys n’a pas détecté l’attaque par ses propres moyens.

L’expert Gérôme Billois (Wavestone), souvent cité dans la presse spécialisée à l’occasion de la fuite de 2024, attribuait l’enchaînement de ces incidents à un « sous-investissement en cybersécurité depuis des années » dans le secteur de la santé. La récurrence en 2026 ne contredit pas ce diagnostic.

Ce qu’il faut faire si vous êtes adhérent Alan (ou client d’une mutuelle utilisant Almerys)

Mesures de vigilance immédiate

  • Considérez par défaut que vous êtes concerné, conformément à la recommandation d’Alan.
  • Ne cliquez sur aucun lien dans un email, SMS ou message évoquant votre mutuelle, votre carte Vitale, votre tiers payant, l’Assurance Maladie, ou des démarches « urgentes » liées à votre couverture santé.
  • Passez par les applications officielles : ouvrez l’application Alan directement depuis votre téléphone, connectez-vous à Ameli via votre navigateur en tapant l’URL vous-même.
  • Vérifiez l’expéditeur exact d’un email avant toute action. Méfiez-vous des sous-domaines (alan-securite.fr, alan.support, etc.).
  • Surveillez votre relevé Ameli chaque mois pour détecter d’éventuels remboursements frauduleux.

En cas de tentative d’arnaque

  • Signalez sur cybermalveillance.gouv.fr et sur signal-spam.fr.
  • Conservez les preuves : capture d’écran, en-têtes email, numéro émetteur SMS.
  • Prévenez Alan via le canal officiel (application, espace adhérent).
  • En cas d’usurpation d’identité avérée, déposez plainte auprès de la police ou de la gendarmerie, et déclarez l’incident à la CNIL via leur formulaire en ligne.

À plus long terme

  • Ne diffusez jamais votre NIR par message non sécurisé, même à votre mutuelle. Les communications légitimes ne demandent pas votre NIR par email.
  • Activez le MFA sur tous vos comptes accessibles : compte Ameli (via FranceConnect+), compte impots.gouv.fr, comptes bancaires.
  • Vérifiez sur HaveIBeenPwned si votre email apparaît dans des fuites connues, et changez les mots de passe correspondants.

Pour les bons réflexes face à un email suspect, consultez notre guide reconnaître un email frauduleux et notre article comment tracer l’origine d’un email suspect.

Leçons pour les entreprises : votre sécurité dépend de celle de vos sous-traitants

L’incident est d’abord un cas d’école pour les DSI, RSSI et dirigeants d’entreprises qui s’appuient sur des prestataires critiques. Voici les enseignements opérationnels.

Cartographier ses dépendances critiques

La première étape est élémentaire mais souvent négligée : savoir qui détient quoi. Quels sont vos sous-traitants RGPD ? À quelles données ont-ils accès ? Quel volume ? Quel impact en cas de compromission ? Pour la plupart des PME françaises, cette cartographie n’existe pas formellement, ou existe mais n’est pas tenue à jour.

Auditer les pratiques sécurité des sous-traitants

L’article 28 du RGPD impose de choisir des sous-traitants qui présentent des « garanties suffisantes ». En pratique, cela signifie : questionnaire de sécurité, audit annuel, certification (ISO 27001, HDS pour la santé, SOC 2), revue des incidents passés. Notre guide sur les questionnaires de sécurité détaille les attentes.

Exiger contractuellement la notification rapide

Le contrat de sous-traitance (DPA, Data Processing Agreement) doit prévoir une obligation de notification du responsable de traitement dans un délai court (souvent 24 ou 48 heures) après détection. Cette clause permet au responsable de traitement de respecter ses propres obligations RGPD (72 heures pour la CNIL, « meilleurs délais » pour les personnes concernées).

Tester ses propres collaborateurs face au phishing

Le scénario de 2024 — phishing de professionnels de santé pour voler leurs identifiants — peut frapper n’importe quelle organisation. Les comptes les plus dangereux ne sont pas toujours les comptes administrateurs : ce sont les comptes opérationnels qui ont un accès massif aux données métier (téléconseillers, opérateurs de plateforme, support client). Les exposer à des simulations régulières et à du micro-learning post-clic réduit drastiquement le taux de compromission. Notre page simulation phishing détaille la méthodologie.

Imposer le MFA aux accès externes

Toute plateforme accessible depuis l’extérieur (portail de tiers payant, espace partenaire, accès fournisseur) devrait imposer une authentification multifacteur, et si possible un MFA résistant au phishing (FIDO2, passkeys). Voir notre guide sur le déploiement MFA en entreprise et notre guide sur la protection M365 contre les attaques AiTM.

Surveiller en temps réel les anomalies d’usage

Une exfiltration de 44 millions de lignes laisse une trace : volume de requêtes anormal, plage horaire inhabituelle, source géographique atypique, motifs d’accès agrégatifs. Les outils de détection d’anomalies (SIEM, UEBA) existent pour cela. La question n’est pas tant de les acheter que de les configurer pour qu’ils alertent — et de répondre aux alertes.

Préparer un plan de réponse à incident incluant les sous-traitants

Que faites-vous si demain un de vos sous-traitants critiques annonce une fuite touchant vos clients ? Avez-vous un plan de communication prêt ? Un canal pour informer rapidement vos adhérents ? Une procédure pour notifier la CNIL ? Notre guide plan de réponse à incident couvre la mise en place.

Sources et lectures pour aller plus loin

Conclusion : une fatigue de l’alerte qui ne doit pas masquer le risque

En quinze mois, les Français ont vu défiler Viamedis, Almerys (2024), France Travail, Pajemploi, OFII, Bouygues Telecom, Cegedim Santé, et maintenant à nouveau Almerys. Le risque de banalisation est réel : à force d’alertes, l’attention baisse. C’est précisément ce que les attaquants exploitent.

Pour les personnes concernées, la mesure utile reste élémentaire : vigilance face aux communications entrantes, passage systématique par les canaux officiels, signalement des tentatives. Le NIR ne se révoque pas ; la prudence est définitive.

Pour les organisations, l’épisode rappelle que la sécurité d’une entreprise digitalisée se mesure à celle de son maillon le plus faible — souvent un sous-traitant que les clients ne connaissent pas et que la DSI sous-supervise. La question n’est plus « avons-nous été piratés ? » mais « lequel de nos sous-traitants l’a été, et avons-nous une chance de le savoir avant que l’information ne sorte sur un forum ? ».

Testez gratuitement la sécurité email de votre domaine et découvrez comment nophi.sh forme vos équipes à reconnaître les tentatives de phishing qui suivront immanquablement cette fuite.

FAQ

Suis-je concerné par la fuite Alan / Almerys de mai 2026 ?

Si vous êtes adhérent d’Alan ou ayant droit d’un adhérent, considérez par défaut que vous êtes concerné. Alan indique ne pas encore disposer de la liste précise des personnes touchées et a choisi par précaution de prévenir l’ensemble de ses adhérents. Si vous êtes assuré par une autre mutuelle dont le tiers payant transite par Almerys (Almerys travaille avec plusieurs dizaines d’organismes), vous êtes également potentiellement concerné en attendant les communications individuelles.

Quelles données ont été volées chez Almerys en mai 2026 ?

Selon la communication d’Alan publiée le 23 mai 2026, les données exposées sont : nom, prénom, date et rang de naissance, numéro de sécurité sociale (NIR), numéro de contrat, nom de l’assureur santé, dates de début et de fin de couverture. Alan affirme que les données bancaires, les coordonnées (adresse, téléphone, email), les mots de passe et les données de santé (soins, remboursements, diagnostics) ne sont pas concernées par cet incident.

Que signifient 44 millions de lignes et 15,45 millions de NIR uniques ?

Le pirate qui a revendiqué l’attaque le 21 mai 2026 sur un forum spécialisé propose à la vente un fichier de 44 millions de lignes contenant 15,45 millions de numéros de sécurité sociale uniques. La différence s’explique par le fait qu’un même NIR peut être associé à plusieurs lignes (un assuré principal et ses ayants droit, plusieurs contrats successifs, plusieurs périodes de couverture). Almerys n’a pas confirmé publiquement l’authenticité de ce volume à la date de publication.

Mes données médicales sont-elles concernées ?

Non, selon Alan. Les données médicales (soins, remboursements, diagnostics, prescriptions) sont stockées dans les systèmes Alan, qui n’ont subi aucune intrusion. La plateforme touchée est celle d’Almerys, qui traite la mécanique du tiers payant (vérification des droits, prise en charge) sans accès aux informations cliniques détaillées. Le risque principal porte sur l’usurpation d’identité et le phishing ciblé, pas sur la divulgation d’informations médicales.

Almerys avait-il déjà été piraté ?

Oui, en février 2024, Almerys avait subi une attaque concomitante avec Viamedis, l’autre opérateur majeur de tiers payant en France. La CNIL avait alors estimé à 33 millions le nombre de personnes concernées. À l’époque, le vecteur d’intrusion était l’usurpation d’identifiants de professionnels de santé (médecins, pharmaciens) qui se connectaient au portail de tiers payant sans authentification multifacteur. La récurrence interroge sur les corrections apportées depuis deux ans.

Qui est responsable juridiquement, Alan ou Almerys ?

Au sens du RGPD, Alan est responsable de traitement et Almerys est sous-traitant (article 28). La responsabilité de la sécurisation de la plateforme incombe à Almerys, mais Alan reste tenu vis-à-vis de ses adhérents de l’obligation d’information rapide en cas de violation (article 34). Les deux entités peuvent être sanctionnées par la CNIL, indépendamment l’une de l’autre, pour des manquements distincts (sécurité technique pour le sous-traitant, choix et supervision du sous-traitant pour le responsable de traitement).

Que faire concrètement maintenant ?

Surveillez attentivement vos emails, SMS et appels téléphoniques évoquant votre mutuelle, votre santé ou des démarches administratives liées à la Sécurité sociale. Ne cliquez sur aucun lien dans ces messages : passez par les applications officielles (Alan, Ameli) directement. Vérifiez régulièrement votre relevé Ameli pour repérer d’éventuels remboursements frauduleux. Conservez les communications officielles d’Alan. En cas de tentative d’arnaque, signalez-la sur cybermalveillance.gouv.fr. Si vous constatez une utilisation frauduleuse de votre identité, déposez plainte.

Articles similaires

Cegedim Santé : 15 millions de dossiers patients dans la nature, anatomie d'une catastrophe

Fin 2025, une cyberattaque contre le logiciel MLM de Cegedim Santé a exposé les données de 15 millions de patients français, dont 164 000 dossiers contenant des informations sensibles. Chronologie, responsabilités, conséquences concrètes et leçons à tirer.

Viamedis et Almerys : 33 millions de Français exposés par une faille chez deux opérateurs de tiers payant

En février 2024, les données de santé de 33 millions de Français ont été compromises via Viamedis et Almerys. Chronologie, données volées, conséquences et leçons pour les entreprises.

Les 50 plus grandes fuites de données en France (2020-2026)

De France Travail (43M) à Viamedis (33M), recensement complet des 50 fuites de données les plus massives en France. Chronologie, chiffres, secteurs touchés et leçons à tirer pour votre entreprise.