Incident de sécurité chez notre prestataire de tiers-payant

Mise à jour 29 mai 14h04

Vendredi 22 mai, Almerys, notre prestataire en charge du tiers-payant, nous a informés avoir subi une cyberattaque ayant entraîné une fuite de données affectant l'ensemble de ses clients.

Le volume de personnes et de données concernées n'est pas connu à date.

Pour en savoir plus et vous tenir à jour sur l'incident, nous nous invitons à consulter le communiqué disponible sur le site Almerys directement.

Les données concernées sont : 

• État-civil (nom, prénom, date de naissance, rang de naissance)
• Numéro de sécurité sociale
• Numéro de contrat
• Nom de l’assureur
• Numéro de contrat de l’assureur
• Dates de début et de fin de couverture

La plateforme touchée a été mise hors service afin de stopper l’atteinte aux données. L’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys.

Almerys oeuvre à une restauration complète de sa plateforme de prise en charge. En attendant, les professionnels de santé sont invités à adresser les demandes de Prise en Charge à Almerys par mail à l’adresse mail [email protected].

Nous avons immédiatement notifié l’ACPR (autorité de régulation des assurances), et nous préparons également une notification à la CNIL (autorité de régulation en matière de protection des données personnelles).

Les données suivantes ne sont pas concernées par l'incident et sont toujours en sécurité :

• Informations bancaires
• Informations de contact (adresse postale, téléphone, email)
• Mots de passe
• Informations de santé (soins, remboursements)

Nous ne partageons ni votre adresse e-mail ou postale, ni votre numéro de téléphone, ni votre IBAN aux prestataires de tiers-payant. Ces données ne peuvent donc pas être concernées par cette intrusion. De même, seuls les professionnels de santé disposent de compte sur ces plateformes. Aucun de vos mots de passe n'est donc directement concerné par cet incident.

La liste détaillée des personnes concernées ne nous a pas encore été communiquée par Almerys.

Cependant, au vu de l’ampleur de la couverture d'Almerys, et par mesure de précaution, nous préférons considérer que ces incidents touchent l’ensemble des assurés ainsi que leurs ayants-droits.

Nous avons donc informé individuellement et directement tous nos membres par email.

• Vos données de santé sont stockées sur les systèmes Alan, et sont toujours soigneusement protégées. Alan n’a subi aucune intrusion dans son système informatique. 
• Votre espace personnel Alan est toujours accessible et sécurisé depuis votre application, et la gestion de vos remboursements continue sans interruption d’activité.

Nos équipes se tiennent à votre disposition pour répondre à toute question concernant la protection des données personnelles à l’adresse [email protected].

Les services de Tiers Payant hors Prise en charge sont toujours fonctionnels.

Nous vous recommandons de faire preuve d’une vigilance accrue dans les prochaines semaines si vous recevez des messages (SMS, vocaux ou e-mails) suspects semblant provenir d’Alan, ou d’autres organismes, notamment s’ils vous demandent des informations ou vous invitent à vous connecter à un site web.

• Vérifiez que vous entrez vos identifiants et vos mots de passe uniquement sur des sites officiels et sécurisés.
• En cas de doute, prenez vous-même contact directement avec l’organisme concerné afin de vérifier la provenance et la légitimité du message.

Lorsque cela est possible, nous vous recommandons d’attendre avant de soumettre une nouvelle demande de prise en charge. Cela permettra d’éviter d’éventuels délais supplémentaires de traitement.

Nous sommes dans l'attente de la confirmation de la part de notre prestataire Almerys sur les moyens mis à disposition pour permettre aux professionnels de santé (comme les opticiens, audioprothésistes ou établissements hospitaliers) de transmettre les demandes de prises en charge à Almerys.

Les demandes de prise en charge hospitalières peuvent toujours être soumises directement depuis l’application Alan.

Quelles démarches ont été engagées ?

• La déclaration à la CNIL a-t-elle été faite ? Oui, une notification initiale a été déposée à la CNIL le 25 mai 2026 (dans le délai réglementaire de 72 heures). Il s'agit d'une première déclaration, dans l'attente qu'Almerys nous communique plus d'informations (notamment la désignation et le nombre exact de personnes concernées et les détails techniques) afin de pouvoir la compléter.
• Dois-je porter plainte individuellement ? Il n'est pas nécessaire de porter plainte individuellement tant que vous n'avez subi aucun préjudice direct.Nous vous recommandons simplement de faire preuve d'une vigilance accrue face aux messages suspects (SMS, e-mails, appels) pouvant mener à une fraude ou une usurpation d'identité. De son côté, Almerys nous a indiqué se coordonner d'ores et déjà avec la Brigade de Lutte Contre la Cybercriminalité.
• Est-ce qu’une déclaration à l’ACPR a été faite ? Oui, Alan a immédiatement notifié l'ACPR (autorité de régulation des assurances) dans le délai réglementaire de 24 heures, conformément au règlement DORA. Alan tient informé l’ACPR tout au long du suivi de l’incident, jusqu’à sa résolution complète.
• Quelle est la politique d'Alan en matière de protection des données ? Vos données de santé sont stockées sur les systèmes Alan et sont soigneusement protégées. Alan n'a subi aucune intrusion dans son système informatique. Par ailleurs, nous ne partageons pas vos informations bancaires, mots de passe, adresses postales ou données de santé avec Almerys, notre prestataires de tiers-payant; ces données ne sont donc pas concernées par cet incident.Pour plus d’information sur notre posture de sécurité et notre politique en matière de traitement des données, vous pouvez consulter:

  • notre politique de confidentialité
  • notre déclaration de sécurité

Puis-je encore utiliser mes droits et ma couverture ?

• Puis-je toujours obtenir une prise en charge pour mes soins ? En attendant la résolution totale du problème, les demandes de prise en charge doivent être émises par les professionnels de santé et redirigées à l’adresse [email protected]. Les services de tiers-payant (hors Prise en charge - “PEC”) sont toujours fonctionnels ainsi que le dépôt de demande de prise en chagre via l’application Alan pour les hospitalisations.
• Quels moyens sont disponibles pour les professionnels de santé et les adhérents pour obtenir une prise en charge pendant l'incident ? Almerys prévoit une restauration de sa plateforme de prise en charge d'ici le début de la semaine prochaine (semaine du 1er juin). En attendant, les professionnels de santé sont invités à adresser les demandes de Prise en Charge à Almerys par mail à l’adresse mail [email protected].
• Quand la situation sera-t-elle rétablie ? Almerys nous a informé qu’une reprise des opérations était prévue la semaine prochaine (à partir du 1er juin 2026). Nous ne manquerons pas de vous tenir informés.

Quelles sont les conséquences concrètes pour moi ?

• Quels sont les risques liés à l'exposition de mes données personnelles ? L'exposition de données personnelles peut - dans certains cas - entraîner des tentatives d'utilisation malveillante de vos informations par des tiers. Dans la majorité des situations, les données exposées ne donnent pas lieu à des conséquences immédiates. Cependant, il est possible que vous soyez confrontés à :

  • Des tentatives de phishing (hameçonnage) : vous pourriez recevoir des emails ou messages se faisant passer pour un organisme de confiance (banque, assurance, administration). Restez vigilant et ne cliquez jamais sur un lien suspect.
  • Des sollicitations commerciales non désirées : vos coordonnées pourraient être utilisées à des fins de démarchage.
  • Dans des cas plus rares, une tentative d'usurpation d'identité, notamment si des documents d'identité ou des données financières ont été concernés.

  Pour toute question ou accompagnement, vous pouvez également consulter la plateforme officielle cybermalveillance.gouv.fr.
• Comment éviter une usurpation d’identité ? L'usurpation d'identité consiste à utiliser vos informations personnelles à votre insu pour effectuer des démarches frauduleuses. Soyez vigilant en ligne

  1. Méfiez-vous des emails vous demandant d'envoyer des copies de pièces d'identité en pièce jointe : il peut s'agir de tentatives d'hameçonnage (phishing).
  2. Ne communiquez jamais vos informations personnelles ou bancaires à la suite d'un appel ou d'un message non sollicité. En cas de doute, raccrochez et rappelez l'organisme à son numéro officiel.

  Pour toute question ou accompagnement, vous pouvez également consulter la plateforme officielle cybermalveillance.gouv.fr.

Que faites-vous concrètement pour nous protéger ?

• Quand et comment serons-nous informés si nous sommes personnellement victimes ? Pour le moment, la liste détaillée des personnes concernées ne nous a pas encore été communiquée par Almerys. Nous informerons les membres concernés une fois que l’information sera disponible.
• Mon compte Alan est-il sécurisé ? Le site et les prélèvements sont-ils protégés ? Votre espace personnel Alan est toujours accessible et sécurisé depuis votre application, et la gestion de vos remboursements continue sans interruption d’activité.Vos données de santé sont stockées sur les systèmes Alan, et sont toujours soigneusement protégées. Alan n’a subi aucune intrusion dans son système informatique.
• Quelles garanties pouvez-vous apporter quant à la protection future de mes données ? La protection de vos données est une priorité fondamentale pour Alan, et non une simple obligation réglementaire.Nous mettons en œuvre des mesures concrètes et auditées : chiffrement systématique de vos données (y compris de bout en bout pour vos échanges médicaux), accès strictement limités aux seules personnes habilitées, surveillance en temps réel de notre infrastructure, et tests d'intrusion menés par des experts indépendants chaque année.Notre organisation, structurée autour de la norme ISO 27001, nous permet d'être pleinement conformes aux exigences du RGPD et de répondre à nos obligations réglementaires avec rigueur.Pour aller plus loin, retrouvez le détail de l'ensemble de ces engagements dans notre politique de confidentialité ainsi que notre déclaration de sécurité.