Question écrite
✓ Répondue le 12/06/2025
#21#23#
Réponse au piratage des opérateurs de tiers payant
Posée le 06/02/2025 • Ministère interrogé : Santé et accès aux soins
Bernard Fialaire RDSE
Sénateur — Rhône
La question
M. Bernard Fialaire rappelle à M. le ministre auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins les termes de sa question n° 01877 sous le titre « Réponse au piratage des opérateurs de tiers payant », qui n'a pas obtenu de réponse à ce jour.
✓ Réponse du gouvernement
Publiée le 12/06/2025
Les opérateurs de tiers payan, qui mettent en oeuvre un traitement véhiculant des données personnelles, sont soumis aux obligations de respect du Règlement général sur la protection des données (RGPD) et de la loi informatique et libertés dans sa dernière version. Un principe essentiel de ces deux textes est la minimisation des données gérées pour ne traiter que celles indispensables à l'exercice des missions. À la suite de la fuite de données ayant touché ces deux opérateurs, la Commission nationale de l'informatique et des libertés (CNIL) mène des investigations afin de déterminer si les mesures de sécurité mises en oeuvre par les opérateurs de tiers-payant préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard de leurs obligations. En cas de manquement, la commission mettra en oeuvre les procédures et poursuites nécessaires. Par ailleurs, concernant l'attaque elle-même, une enquête a été confiée à la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. Enfin, le ministère de l'intérieur a mis en place un formulaire en ligne sur son site (www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys) afin de faciliter le dépôt de plainte des personnes concernées par la fuite. Concernant les missions dévolues à l'agence nationale de la sécurité des systèmes d'information et à la CNIL, il est utile de préciser que ces organismes n'ont pas pour rôle de préconiser l'emploi d'une technologie auprès des organismes gérant des données personnelles. Ils ont cependant la possibilité d'apporter un avis sur la solution choisie et de vérifier que le niveau de sécurité mis en place autour de cette gestion soit suffisant, en rapport avec la nature des données personnelles considérées. En termes de cybersécurité, les organismes complémentaires sont soumis au règlement DORA (Digital Operational Resilience Act) visant à assurer l'intégrité et la disponibilité du secteur financier. En France, c'est l'Autorité de contrôle prudentiel et de résolution qui a la charge d'accompagner sa mise en application.
Source : senat.fr ↗
Autres questions de Bernard Fialaire
Effectivité du dispositif coupe-file
Question écrite • 25/06/2026
Diminution drastique des postes d'internes attribués à la spécialité de la gynécologie médicale
Question écrite • 11/06/2026
Protection de l'audiovisuel public
Question au Gouvernement • 07/05/2026
Assujettissement à la taxe d'apprentissage de l'ensemble des acteurs du secteur privé non-lucratif
Question écrite • 16/04/2026