FAQ assurés suite à la Cyberattaque subie par VIAMEDIS

Dernière mise à jour le 15/02/2024 à 16h00

Au vu du grand nombre de demandes que nous recevons, nous avons décidé de vous communiquer cette FAQ* afin de répondre à toutes les questions suite à la violation de données qui a eu lieu au sein de VIAMEDIS, gestionnaire du Tiers Payant de votre complémentaire santé.

Cette page sera modifiée dans les heures et jours à venir, au fur et à mesure des questions qui nous seront posées.

Q.1 Suis-je concerné personnellement par la violation des données ?

Si vous avez été destinataire de notre communication individuelle (par mail ou par courrier postal), relative à la cyberattaque subie par VIAMEDIS, vous êtes personnellement concerné par la violation de données ainsi que vos ayants-droit co-assurés du contrat

Q.2  Quelles données sont concernées ?

D’après VIAMEDIS, seules les catégories de données suivantes ont été concernées par la violation survenue :

  • état civil
  • date de naissance
  • numéro d’adhérent
  • numéro de sécurité sociale
  • nom de l’assureur santé et garanties ouvertes au Tiers Payant

Vos données bancaires, vos adresses mail et postales ainsi que vos numéros de téléphone ne sont pas concernés.

Q.3 Dois-je informer d’autres organismes tels que la CNIL, la CPAM, la CAF, ou ma mutuelle, de la violation des données me concernant afin de me protéger ?

Non : vos données ont été volées sur la plateforme d’un tiers, en l’occurrence VIAMEDIS, lequel a d’ores et déjà effectué une notification à la CNIL.

ROEDERER en a fait de même.

Les autres organismes sont informés de la situation.

A ce stade, et en l’absence d’usurpation d’identité ou de préjudice directement lié à une utilisation frauduleuse de vos données exposées (usurpation d’identité, mouvements bancaires suspects), vous n’avez pas de démarche à effectuer auprès d’un quelconque organisme

Q.4  Comment expliquer le délai entre la date de la cyberattaque subie par VIAMEDIS et l’information personnelle faite par ROEDERER aux assurés ?

Dès que nous avons été informés de l’intrusion, nous nous sommes mobilisés afin de :

  • Déterminer précisément les données personnelles exposées à l’occasion de cette attaque subie par VIAMEDIS
  • Déterminer l’identité de nos assurés concernés par la violation de données
  • Mettre en œuvre, dans les plus brefs délais, des mesures de protection renforcées visant à limiter au maximum, des tentatives d’actions malveillantes qui pourraient être potentiellement opérées à partir des données compromises (ex : tentative d’usurpation d’identité, tentatives de piratage d’autres données, phishing,…)

Nous vous avons notifié personnellement de l’état de la situation, uniquement lorsque tous les éléments nous permettant de veiller à votre sécurité et à votre parfaite information étaient en notre possession.

Q.5 Quelles mesures avons-nous mises en œuvre afin de nous assurer de votre identité, pour la sécurité de nos échanges écrits ou téléphoniques depuis la cyberattaque ?

  • Nous avons mis en place la double authentification obligatoire via un code envoyé par MAIL ou par SMS, pour la connexion à votre espace assuré sur notre site internet
  • Nous avons renforcé la vérification de votre identité lors de la création de nouveaux comptes assurés sur notre site internet
  • Nous avons mis en place un message vocal automatisé d’appel à la vigilance, à l’occasion de vos communications téléphoniques avec nos services, et instauré un process de vérification d'identité renforcé lorsque vous prenez contact avec ROEDERER.

Q.6 Quelles mesures complémentaires de sécurité puis-je prendre à titre personnel afin d’éviter l’utilisation frauduleuse de mes données et de celles de mes proches couverts par mes contrats ?  

Nous vous invitons à la plus grande prudence dans le traitement de vos mails ou SMS, car, munis des données personnelles exposées, des personnes malveillantes peuvent essayer de se faire passer pour des organismes de santé ou de banques afin d’obtenir plus d’informations (coordonnées bancaires par exemple) ou solliciter des paiements de votre part.

Nous vous incitons à choisir des mots de passe d’une complexité suffisante (proscrire votre date de naissance par exemple) et de ne pas utiliser le même mot de passe sur tous les services en ligne.

Q.7 Comment cette cyberattaque a-t-elle été rendue possible ? Y avait-il des lacunes dans votre système de sécurité informatique ?

Nous vous précisons que la cyberattaque a eu lieu sur les serveurs informatique de l’opérateur de tiers-payant VIAMEDIS. Le système a été attaqué à partir du compte d’un professionnel de santé dont les pirates ont pris possession et qui a servi pour voler des données.

Nous en subissons les conséquences par ricochet dans la mesure où vos données exposées sont en leur possession, pour leur permettre d’assurer leur mission de tiers-payant lorsque vous mobilisez leurs services à l’occasion des soins dont vous bénéficiez

Q.8 Que puis-je faire en cas d’opérations suspectes ou anomalies sur mes divers espaces personnels ou comptes bancaires, ou en cas d’usurpation d’identité ?

Nous vous recommandons :

  • d’alerter dans les plus brefs délais l’organisme concerné (assurance, banque, CAF, CPAM, …)

  • de faire une déclaration sur le site du gouvernement dédié : internet-signalement.gouv.fr
    et de solliciter un accompagnement gratuit dans l’exécution de cette démarche auprès de l’association France Victimes  que vous pourrez contacter au : au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice - Service ouvert 7 jours sur 7 de 9h à 19h
  • de déposer une plainte pénale :
    • auprès du commissariat ou la gendarmerie la plus proche de votre domicile,
    • auprès du commissariat ou la gendarmerie du lieu où vous vous trouvez lors de la découverte de l’infraction
    • auprès du Procureur de la République du Tribunal Judiciaire du ressort de votre domicile

Vous disposerez également de la possibilité de déposer une plainte auprès de la CNIL :

  • par courrier à l’adresse CNIL - Service des Plaintes - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
  • par le téléservice de plaintes en ligne https://www.cnil.fr/fr/plaintes

Q.9 Qui verra sa responsabilité engagée de l’attaque en cas d’utilisation frauduleuse de mes données et de préjudice ? Qui me dédommagera ?

Les différents recours évoqués plus haut peuvent permettre le déclenchement d’enquêtes destinées à déterminer les circonstances de l’utilisation frauduleuse de vos données, ainsi que l’identité des auteurs de l’infraction.

Ces enquêtes auront également pour but de faire la lumière sur les responsabilités des personnes physiques et morales impliquées.

Le Procureur de la République déterminera l’opportunité de poursuivre en justice les auteurs des faits commis à votre encontre, s’ils sont identifiés.  

Si la responsabilité pénale d’une personne morale devait également être mise en jeu, cet acteur sera également poursuivi dans le cadre de la même procédure ou d’une procédure distincte de celle concernant les auteurs personnes physiques.

C’est dans le cadre de ces procédures judiciaires que les victimes d’infraction pourront se constituer partie civile et solliciter leur indemnisation.

Q.10. Puis-je déposer plainte pour seul le vol de mes données (c’est-à-dire, en l’absence de toute utilisation frauduleuse de celles-ci) ?

Oui, vous pouvez déposer plainte contre X.

Une procédure de dépôt de plainte pénale simplifiée a été mise en ligne par le Tribunal judiciaire de Paris. Si vous souhaitez initier cette procédure, vous trouverez ci-après les informations utiles.

Pour télécharger le formulaire cliquez ici.

Q.11  A qui dois-je m’adresser si je souhaite effectuer une demande d’accès, de rectification ou de suppression de mes données :

Pour les seules questions relatives à l‘exercice de vos droits d’accès, de rectification ou de suppression concernant vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données (DPO), DIPEEO SAS aux coordonnées ci-dessous :

Nous vous précisons toutefois que nous ne pouvons accéder à une demande de suppression de données personnelles, lorsque vous bénéficiez de contrat ouverts auprès de ROEDERER. La conservation de ces données pendant toute la durée de vos contrats sont nécessaires à leur bonne exécution.

Une question ?
Ouvrir le chatbot