ANTS, Almerys, Cegedim : trois fuites qui ont changé la donne
Entre 2024 et 2026, trois affaires ont mis en lumière la fragilité des systèmes d'information français face aux violations de données : l'ANTS (devenue France Titres), les opérateurs de tiers payant Almerys et Viamedis, et l'éditeur de santé Cegedim. Au total, plusieurs dizaines de millions de Français concernés. Ce que ces cas nous apprennent sur le RGPD et les réflexes à adopter.
avril 2024
Almerys + Viamedis 2024
Cegedim fin 2025
1. L'ANTS — quand l'État perd le contrôle de vos données d'identité
Ce qui s'est passé : L'ANTS, renommée France Titres en 2024, détecte le 15 avril un incident de sécurité susceptible d'avoir entraîné une divulgation de données. Le lendemain, un individu propose sur un forum de revente de données une base de plus de 18 millions de profils — chiffre probablement gonflé. Le ministère de l'Intérieur reconnaît que 11,7 millions de comptes sont concernés.
Données exposées : noms et prénoms, dates de naissance, adresses email, identifiants de connexion. Pas de documents d'identité ni de données bancaires — mais des informations suffisantes pour du phishing ciblé.
Réaction : Notification immédiate à la CNIL, à l'ANSSI et au procureur de la République de Paris (conformément à l'article 40 du Code de procédure pénale). L'OFAC (Office anti-cybercriminalité) est saisi.
Ce que cet incident illustre, c'est qu'aucune organisation n'est à l'abri — pas même un opérateur régalien gérant les titres d'identité de la Nation. Il rappelle aussi l'obligation RGPD de notifier la CNIL dans les 72 heures suivant la découverte d'une violation (article 33 du RGPD), ce que l'ANTS a fait correctement.
Leçon #1 : La notification dans les 72h n'est pas optionnelle. La rapidité de réaction de l'ANTS — notification CNIL, ANSSI et procureur le lendemain — est un modèle à suivre, quelles que soient les circonstances.
2. Almerys et Viamedis — 33 millions de données de santé en fuite
Ce qui s'est passé : Les deux opérateurs gérant le tiers payant pour des dizaines de complémentaires santé sont victimes de cyberattaques simultanées. La CNIL est informée fin janvier 2024. Le bilan : 33 millions d'assurés et leurs ayants droit sont concernés — l'une des violations les plus massives jamais enregistrées en France.
Données exposées : état civil, date de naissance, numéro de sécurité sociale, nom de l'assureur santé, garanties du contrat. Les données bancaires, médicales et les remboursements ne sont pas concernés.
En mai 2026 : une nouvelle alerte signale la diffusion d'une base présentée comme issue d'Almerys, comprenant plus de 44 millions de lignes et 15 millions de numéros de sécurité sociale. Les investigations de la CNIL ouvertes en 2024 sont toujours en cours.
Cette affaire pose une question centrale : qui est responsable quand le sous-traitant est attaqué ? Viamedis et Almerys agissaient en tant que sous-traitants pour les complémentaires santé. Le RGPD (article 28) exige que le responsable de traitement s'assure que ses sous-traitants offrent des garanties suffisantes. La violation d'un sous-traitant engage la responsabilité du responsable de traitement.
Leçon #2 : Votre responsabilité ne s'arrête pas à vos propres systèmes. Elle couvre aussi vos sous-traitants. Les contrats de sous-traitance doivent inclure des clauses RGPD précises (article 28), et les audits de sécurité des prestataires doivent être réguliers.
3. Cegedim Santé — sanction CNIL et cyberattaque en cascade
Sanction CNIL (5 septembre 2024) : La CNIL inflige une amende de 800 000 euros à Cegedim Santé pour avoir traité des données de santé sans autorisation. Les contrôles de 2021 ont révélé que la société transmettait à ses clients des données présentées comme anonymes, mais en réalité seulement pseudonymisées — la réidentification des patients restant techniquement possible.
Cyberattaque (fin 2025) : Le logiciel MonLogicielMedical.com de Cegedim Santé subit une cyberattaque. 15 millions de patients sont concernés, dont 164 000 pour des données sensibles. Données volées : nom, prénom, sexe, date de naissance, téléphone, adresse, email, et commentaires administratifs en texte libre des médecins. Cegedim a notifié la CNIL et déposé plainte.
Le cas Cegedim est particulièrement instructif car il cumule deux types de manquements : une non-conformité structurelle (données pseudo-anonymes présentées comme anonymes) sanctionnée par la CNIL, puis une violation opérationnelle par cyberattaque. La distinction entre anonymisation et pseudonymisation n'est pas sémantique — elle a des conséquences juridiques directes sur les obligations de sécurité applicables.
Leçon #3 : Anonymisation ≠ pseudonymisation. Des données pseudonymisées restent des données personnelles au sens du RGPD. Les réidentifier est souvent techniquement possible — et les obligations de sécurité s'appliquent en conséquence.
Ce que ces trois affaires imposent comme réflexes
Pour toutes les organisations
- Cartographier les données traitées et identifier celles qui sont réellement à risque (données de santé, identifiants, données financières).
- Tester le plan de notification à la CNIL — pas au moment de l'incident. Le délai de 72h est impitoyable.
- Auditer ses sous-traitants — un DPA (Data Processing Agreement) dans un tiroir ne suffit pas.
- Distinguer anonymisation et pseudonymisation dans les traitements analytiques — l'erreur de Cegedim coûte 800 000€.
Pour les collaborateurs
- Être vigilant face aux tentatives de phishing exploitant des données volées (nom, email, assureur connus de l'attaquant).
- Ne pas réutiliser ses identifiants — une fuite ANTS peut servir à attaquer d'autres comptes avec les mêmes mots de passe.
- Signaler toute anomalie à son DPO ou à sa DSI sans attendre.
Ces trois cas sont utilisés comme études de cas dans nos formations CYBE-002 — RGPD opérationnel et CYBE-001 — Hygiène numérique. Ils illustrent concrètement les obligations de notification, la distinction anonymisation/pseudonymisation et la responsabilité des sous-traitants.