Vous n'avez jamais entendu parler d'Almerys, et pourtant cette entreprise détient peut-être votre numéro de Sécurité sociale. Si vous avez une complémentaire santé en France, il y a une vraie chance que vous soyez concerné par cette fuite, même indirectement.
Le lundi 25 mai 2026, la mutuelle Alan a confirmé qu'Almerys, un acteur central du tiers payant en France, avait été la cible d'une cyberattaque d'envergure. Almerys gère les prises en charge et les remboursements pour de nombreuses complémentaires santé. C'est exactement ce type d'intermédiaire technique, invisible pour l'assuré, qui constitue aujourd'hui une cible privilégiée pour les attaquants : compromettre un seul prestataire permet d'atteindre des centaines de mutuelles d'un coup.
La fuite revendiquée porte sur un fichier d'environ 44 millions de lignes contenant 15,4 millions de numéros de Sécurité sociale uniques, ce qui en ferait l'une des plus importantes fuites de données santé de l'histoire récente en France. Selon les premiers éléments, plus de 674 organismes de santé seraient potentiellement exposés, et les données concernées pourraient remonter jusqu'à 2010.
Le plus préoccupant n'est pas seulement l'ampleur, mais l'air de déjà-vu. Début 2024, une première fuite majeure avait déjà frappé Almerys et son concurrent Viamedis, exposant les données de plus de 33 millions de Français, soit près d'un assuré sur deux. Deux ans plus tard, le scénario se répète, en plus volumineux.
Ce qui a fuité exactement
D'après les communications d'Almerys et de plusieurs mutuelles partenaires, les données potentiellement exposées sont des données d'identité et de couverture, pas des données financières ou médicales. Concrètement, le fichier contiendrait pour chaque assuré :
- Nom et prénom : l'identité civile complète.
- Date de naissance et rang de naissance : des éléments d'état civil précis.
- Numéro de Sécurité sociale (NIR) : la donnée la plus sensible du lot.
- Nom de l'assureur et numéro de contrat : votre rattachement à une mutuelle.
- Dates de début et de fin de couverture : l'historique de vos droits.
Selon Almerys et les mutuelles qui ont communiqué, les coordonnées bancaires, les adresses e-mail, les numéros de téléphone, les adresses postales, les données médicales, les historiques de soins et les mots de passe ne seraient pas concernés. C'est une bonne nouvelle relative, mais elle ne doit pas vous rassurer complètement.
Attention : un numéro de Sécurité sociale associé à un état civil complet, c'est précisément la combinaison nécessaire pour monter une usurpation d'identité ou un hameçonnage sur mesure. La dangerosité d'une fuite ne tient pas à un champ isolé, mais au croisement de plusieurs informations.
Pourquoi le numéro de Sécu change tout
Quand un mot de passe fuite, vous le changez en deux minutes et la donnée volée perd l'essentiel de sa valeur. Le numéro de Sécurité sociale, lui, ne se change pas. C'est un identifiant attribué à vie, dérivé de votre sexe, de votre année et de votre mois de naissance, et de votre lieu de naissance. Une fois dans la nature, il y reste.
Contrairement à une carte bancaire que l'on fait opposer, ou à un mot de passe que l'on réinitialise, le NIR vous suit pour toujours. Une donnée durable est une donnée durablement exploitable.
Ce caractère permanent explique pourquoi le NIR est traité comme une donnée particulièrement encadrée en droit français. Son utilisation est strictement limitée par décret, et la CNIL en surveille les traitements de près. Pour les attaquants, c'est une clé administrative qui ouvre la porte à des fraudes aux remboursements, à des ouvertures de droits frauduleuses, ou à des dossiers montés à votre nom.
Le pirate à l'origine de la revendication affirme par ailleurs que plusieurs membres d'une même famille pourraient être rattachés à un même numéro dans la base, ce qui permettrait de reconstituer des structures familiales entières. Si cela se confirme, le risque dépasse la personne concernée et touche ses proches.
Êtes-vous concerné ?
C'est la question que tout le monde se pose, et la réponse est rarement immédiate. Vous n'avez sans doute jamais signé de contrat directement avec Almerys. Le lien passe par votre complémentaire santé, qui sous-traite à Almerys la gestion de son tiers payant. Voici comment vous situer.
Bon à savoir : en cas de risque élevé pour vos droits et libertés, l'organisme responsable a l'obligation, au titre de l'article 34 du RGPD, de vous informer directement et sans délai injustifié. Si vous recevez une telle notification, elle doit décrire la nature de la violation et les mesures recommandées.
Vous gérez un site ou collectez des données de clients ?
Cette fuite rappelle qu'un seul maillon faible suffit. Vérifiez en quelques minutes où en est la conformité de votre propre site.
Que faire maintenant, concrètement
Que vous soyez certain d'être concerné ou simplement prudent, voici les réflexes utiles. Ils valent pour toute fuite impliquant votre identité et votre numéro de Sécurité sociale.
Renforcez votre vigilance face à l'hameçonnage
Les escrocs vont exploiter ces données pour des messages ultra crédibles se faisant passer pour votre mutuelle, l'Assurance Maladie ou votre banque. N'ouvrez pas les pièces jointes, ne cliquez pas sur les liens, et connectez-vous toujours en tapant vous-même l'adresse officielle du service.
Signalez à votre CPAM et à l'Assurance Maladie
Le NIR servant aux remboursements, prévenez votre caisse d'assurance maladie pour qu'elle surveille toute activité anormale sur votre dossier. Consultez aussi cybermalveillance.gouv.fr pour les conseils de protection adaptés.
Déposez plainte
Si vous constatez une usurpation d'identité ou des opérations frauduleuses, conservez toutes les preuves et déposez plainte auprès de la police ou de la gendarmerie. L'usurpation d'identité est réprimée par l'article 226-4-1 du Code pénal.
Vérifiez le fichier FICOBA
Demandez auprès des services de la CNIL une consultation du fichier national des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à votre nom à votre insu.
Vos droits et vos recours au titre du RGPD
Une fuite de données n'est pas qu'un problème technique : c'est un manquement potentiel à des obligations légales précises. Le RGPD vous donne des droits, et il impose des devoirs aux organismes responsables.
D'abord, la sécurité. L'article 32 du RGPD impose au responsable de traitement et à son sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données. Quand une attaque réussit sur une base aussi sensible, la question de la conformité à cette obligation se pose systématiquement, surtout en cas de récidive.
Ensuite, la notification. L'article 33 oblige le responsable à notifier la violation à la CNIL, en principe dans les 72 heures. L'article 34 impose de prévenir directement les personnes concernées lorsque le risque pour leurs droits et libertés est élevé, ce qui est typiquement le cas avec des numéros de Sécurité sociale.
Enfin, la réparation. L'article 82 du RGPD ouvre un droit à indemnisation pour tout dommage matériel ou moral subi du fait d'une violation. Attention toutefois à une confusion fréquente sur le rôle de la CNIL.
Faire sanctionner le manquement
- Démarche gratuite, en ligne sur cnil.fr
- La CNIL peut contraindre l'organisme et le sanctionner
- Ne donne pas lieu à une indemnisation personnelle
Obtenir une réparation financière
- Seule voie pour une indemnisation au titre de l'article 82
- Possibilité d'action de groupe
- Nécessite de démontrer un préjudice
Du côté de la sanction, l'enjeu est lourd pour Almerys. En cas de manquement à l'obligation de sécurité, la CNIL peut prononcer une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Et le contexte n'est pas favorable aux organismes négligents : la CNIL a annoncé consacrer environ la moitié de ses contrôles et actions répressives à la sécurité des données en 2026.
La leçon pour les professionnels et les agences
Si vous gérez un site, traitez des données clients ou conseillez des entreprises, cette affaire est un cas d'école. Le maillon qui a cédé n'est pas la mutuelle elle-même, mais son sous-traitant. C'est le risque de la chaîne de sous-traitance, et il vous concerne directement dès que vous confiez des données à un prestataire.
- Cartographiez vos sous-traitants : sachez précisément qui traite quelles données pour votre compte, et tenez votre registre à jour.
- Encadrez par contrat : l'article 28 du RGPD impose un contrat de sous-traitance définissant les obligations de sécurité de chaque prestataire.
- Minimisez les données collectées : moins vous stockez de données sensibles, moins une fuite est grave. C'est le principe de minimisation de l'article 5.
- Préparez votre procédure de notification : savoir réagir en 72 heures ne s'improvise pas le jour de l'incident.
Bon à savoir : être responsable de traitement ne vous décharge pas de votre responsabilité quand un sous-traitant est piraté. Vous restez tenu de démontrer que vous aviez choisi un prestataire présentant des garanties suffisantes et encadré la relation correctement.
Questions fréquentes
Comment savoir si je suis concerné par la fuite Almerys ?
Si votre complémentaire santé utilise Almerys pour gérer le tiers payant, vous êtes potentiellement concerné. Les organismes touchés ont l'obligation de notifier directement leurs adhérents en cas de risque élevé. Surveillez vos courriers et e-mails officiels de votre mutuelle, et contactez-la directement via ses coordonnées officielles si vous avez un doute.
Mon numéro de Sécurité sociale a fuité, que dois-je faire ?
On ne peut pas changer un numéro de Sécurité sociale. Signalez la situation à votre CPAM et à l'Assurance Maladie, redoublez de vigilance face aux tentatives d'hameçonnage, et déposez plainte auprès de la police ou de la gendarmerie si vous constatez une usurpation d'identité. Consultez cybermalveillance.gouv.fr pour obtenir les conseils de protection adaptés.
Les données bancaires et de santé ont-elles fuité chez Almerys ?
Selon les communications d'Almerys et de plusieurs mutuelles, les coordonnées bancaires, les données médicales et les historiques de soins ne seraient pas concernés. Les données exposées comprennent l'état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l'assureur et le numéro de contrat. Cette combinaison reste suffisante pour une usurpation d'identité.
Puis-je être indemnisé après la fuite Almerys ?
La CNIL ne verse pas d'indemnisation aux victimes. Pour obtenir une réparation financière, vous devez saisir le tribunal judiciaire. L'article 82 du RGPD ouvre un droit à réparation pour tout dommage matériel ou moral résultant d'une violation. Des actions de groupe peuvent également être engagées.
Quelles sanctions risque Almerys de la part de la CNIL ?
En cas de manquement à l'obligation de sécurité de l'article 32 du RGPD, la CNIL peut prononcer une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. La sécurité des données est la priorité de contrôle numéro un de la CNIL en 2026, ce qui rend une procédure probable.
Est-ce la première fois qu'Almerys est piraté ?
Non. Début 2024, une fuite majeure avait déjà touché Almerys et son concurrent Viamedis, exposant les données de plus de 33 millions de Français. La fuite revendiquée en mai 2026 serait encore plus volumineuse, ce qui interroge sur les mesures de sécurité mises en place depuis le premier incident.
Recevez la checklist de conformité RGPD (12 points)
La liste complète des éléments à vérifier sur votre site, point par point, pour vous mettre en conformité. Envoi immédiat par e-mail.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.