L’Ouïe Magazine n°149 – Juin 2026

Edito

Le Congrès, un temps fort à repenser

L‘éradication des mauvaises pratiques dans le système de soins est un objectif phare des pouvoirs publics, des complémentaires santé et de leurs partenaires. Dans ce but, la toute nouvelle loi visant à lutter contre les fraudes sociales et fiscales (voir notre Focus page 16) élargit et légalise les possibilités d’exploitation des données de santé par ces acteurs, afin de mieux détecter les anomalies et comportements suspects. Au regard de l’ampleur du phénomène et de son coût, notamment en audioprothèse, l’intention est compréhensible. Cependant, est-il raisonnable d’élargir l’accès aux données de plateformes qui deviennent elles-mêmes des cibles majeures ?

Dans notre système de santé toujours plus numérisé, la confiance repose autant sur l’efficacité des contrôles que sur la sécurité des informations qui les rendent possibles.

En effet, à l’heure où nous bouclons ce numéro de L’Ouïe Magazine, une nouvelle cyberattaque contre Almerys repose brutalement le débat. Des sphères cybercriminelles ont mis la main sur une base de l’opérateur de tiers payant, qui compterait plus de 44 millions de lignes de données, dont 15,4 millions de numéros de Sécurité sociale. Les autres informations concernées seraient des noms, prénoms, dates de naissance, contrats santé et périodes de couverture. Certaines pourraient remonter jusqu’à 2010. Plusieurs Ocam, clients d’Almerys, sont touchés, notamment Alan, MGEN, Harmonie Mutuelle et AG2R La Mondiale.

Le problème réside dans la fuite elle-même, son ampleur, mais aussi sa répétition, Almerys ayant déjà été touché en février 2024, en même temps que Viamedis. À l’époque, la Cnil évoquait la violation de données de plus de 33 millions de Français, via la compromission de comptes de professionnels de santé. De fait, plus les bases deviennent massives et centralisées, plus elles deviennent stratégiques pour les cybercriminels : les données récupérées constituent une matière de choix pour alimenter des campagnes de phishing ultra ciblées, des usurpations d’identité ou des fraudes administratives.

Jusqu’où faut-il donc ouvrir l’accès aux données au nom de la lutte contre la fraude ? Car, à force de vouloir tout tracer, tout centraliser et tout surveiller, le système risque de créer une vulnérabilité plus grande que celle qu’il entend combattre.

Cette nouvelle cyberattaque montre que la lutte contre la fraude, bien évidemment nécessaire, ne peut plus être pensée indépendamment des enjeux de cybersécurité et de gouvernance des données. À mesure que les outils de contrôle se renforcent, les exigences de protection doivent progresser au même rythme pour les Ocam, réseaux de soins et opérateurs de tiers payant.