Menu
× Accueil Supprimer un compte Blog Extension Chrome En savoir plus Se connecter S'inscrire

Fuite Almerys : 15 millions de numéros de sécu en vente, que faire ?

Article mis à jour le 13 juillet 2026.

Un pirate a mis en vente sur un forum spécialisé, un fichier de 44 millions de lignes contenant plus de 15 millions de numéros de sécurité sociale selon le décompte de French Breaches. Rapporté à la population, c'est près d'un Français sur quatre. Au bout de la chaîne, c'est Almerys qui a été piraté. La plupart des personnes concernées n'avaient probablement jamais entendu ce nom avant le 23 mai. C'est précisément ce qui rend cette fuite intéressante à décortiquer.

Almerys, ce maillon dont vous ignoriez l'existence

Quand vous présentez votre carte de mutuelle chez le pharmacien et qu'il vous dit "vous n'avez rien à payer", il y a un opérateur invisible entre votre mutuelle et l'officine : le gestionnaire de tiers-payant. Almerys est l'un des plus gros acteurs français du métier. Il traite les flux pour des dizaines de mutuelles : Alan, MGEN, Harmonie Mutuelle, AG2R et beaucoup d'autres. Quand Alan a prévenu ses adhérents le 23 mai, elle ne faisait que répercuter une alerte reçue d'Almerys la veille. AG2R La Mondiale, Aésio Mutuelle et Intériale ont suivi avec leurs propres notifications.

Concrètement, à chaque passage de votre carte de mutuelle, le professionnel de santé doit vérifier en temps réel votre droit à la prise en charge auprès de votre assureur. Ce sont les serveurs d'Almerys qui font transiter cet échange. Vous n'avez signé aucun contrat avec lui et vous n'avez jamais vu son nom. Vos données contractuelles y circulent quand même, à chaque acte de soin.

Cette architecture est légale, courante et utile. Mais elle a un effet secondaire : vos données ne se trouvent pas qu'à un seul endroit. Elles circulent et elles s'accumulent chez des sous-traitants que vous ne choisissez pas. Quand l'un d'eux est compromis, c'est tout le bloc de ses clients qui tombe avec lui.

Ce qui a fuité et ce qui n'a pas fuité

Selon le communiqué d'Alan, confirmé par Next et Clubic, les données exposées sont :

  • état civil complet : nom, prénom, date et rang de naissance

  • numéro de sécurité sociale (NIR)

  • numéro de contrat et nom de l'assureur

  • dates de couverture santé

Les coordonnées bancaires, mots de passe, adresses postales et données médicales (remboursements, ordonnances, diagnostics) ne sont pas concernés. Cette précision compte : on n'est pas dans le cas Doctolib ou Dedalus avec des données de santé exposées. On est dans le cas administratif pur.

Mais le NIR, lui, est particulier. Contrairement à une carte bancaire, il ne se révoque pas. Vous gardez le même toute votre vie. Un pirate qui le détient avec votre état civil détient deux choses : un identifiant valable pour ouvrir des droits sociaux frauduleux et une matière première crédible pour un phishing très ciblé.

L'impact réel pourrait largement dépasser les 15 millions de personnes concernées : un NIR couvre souvent un foyer entier, conjoint et enfants étant rattachés au même numéro pour la couverture santé.

Le mode opératoire, lui, est presque banal : la compromission d'un seul compte de professionnel de santé a suffi à dérouler l'aspirateur sur l'ensemble du site de prises en charge. Comment ce compte a été compromis, Almerys ne l'a pas détaillé publiquement.

Que faire si vous êtes potentiellement concerné

Si vous êtes adhérent Alan, vous avez reçu un email le 23 mai. Si vous êtes adhérent d'une autre mutuelle utilisant Almerys (MGEN, Harmonie, AG2R et d'autres), surveillez votre boîte mail dans les prochains jours. En attendant les notifications officielles, quelques gestes utiles.

Méfiez-vous très activement de tout contact "santé" dans les semaines qui viennent. Les fraudeurs disposent maintenant d'un dossier crédible : ils connaissent votre nom, votre date de naissance, votre numéro de sécu et le nom de votre mutuelle. Un SMS qui dit "Votre carte Vitale doit être renouvelée, cliquez ici" deviendra beaucoup plus convaincant. Règle : ne cliquez jamais sur un lien dans ce genre de message. Allez directement sur ameli.fr ou sur le site de votre mutuelle en tapant l'adresse vous-même.

Si vous constatez une activité suspecte sur votre compte Ameli (remboursement que vous n'avez pas demandé, modification de coordonnées bancaires, déclaration d'arrêt de travail à votre insu), prévenez sans délai votre CPAM. Un dépôt de plainte est possible auprès du commissariat ou en ligne via la plateforme THESEE du ministère de l'Intérieur. C'est la principale forme d'exploitation à craindre d'un NIR volé : la fraude aux droits sociaux.

Surveillez aussi l'usurpation administrative. Avec un NIR et un état civil complet, certains services en ligne mal sécurisés peuvent être trompés. Les fraudes les plus documentées concernent les ouvertures de lignes mobiles et les demandes de duplicatas de documents officiels. Gardez donc un oeil, sur quelques mois, sur les notifications de votre opérateur mobile : une demande de duplicata de carte SIM ou une ouverture de ligne inattendue serait un signal d'alerte sérieux. Les SMS frauduleux se signalent au 33 700.

Faites-vous accompagner par Cybermalveillance.gouv.fr pour obtenir un diagnostic et être orienté vers les démarches adaptées. Le site propose un parcours d'assistance gratuit pour les particuliers victimes d'incidents numériques.

Vous pouvez aussi saisir la CNIL via cnil.fr/plaintes si vous estimez qu'Almerys ou votre mutuelle ont manqué à leurs obligations. La CNIL ne vous indemnisera pas directement. Ses décisions peuvent en revanche constituer des éléments utiles à l'appui d'une action en réparation devant les juridictions civiles, sur le fondement de l'article 82 du RGPD qui prévoit un droit à indemnisation des personnes ayant subi un dommage du fait d'une violation.

Le NIR ne se change pas, donc la vigilance n'est pas une affaire de quelques semaines. Comptez au minimum 12 à 24 mois avant de relâcher l'attention sur les sollicitations "santé" ou "Assurance Maladie" un peu étranges.

Almerys, deuxième fuite massive en deux ans

Le détail qui change tout : c'est la deuxième fois en 16 mois. En janvier 2024, Almerys et son concurrent direct Viamedis étaient piratés au même moment, exposant les données de plus de 33 millions de personnes selon la CNIL. Le parquet de Paris avait ouvert une enquête, toujours en cours quand la nouvelle attaque a été détectée.

Deux fuites massives en deux ans chez le même prestataire posent une question simple : pourquoi continue-t-il de traiter les données de la moitié des assurés français ? Une mutuelle qui choisit son gestionnaire de tiers-payant le fait sur des critères de coût, de couverture du réseau de soins et d'intégration technique. La résilience de l'infrastructure de cybersécurité du prestataire pèse rarement aussi lourd qu'elle le devrait. Tant que les sanctions CNIL resteront symboliques par rapport aux marges des intermédiaires de la chaîne santé, le calcul économique continuera de produire ce résultat.

Le RGPD a pourtant mis en place le bon mécanisme dès son entrée en application le 25 mai 2018. Ses articles 28 et 32 imposent au responsable de traitement de choisir un sous-traitant offrant des garanties suffisantes de sécurité et de rester comptable de ce choix. Ses articles 13 et 14 imposent aussi d'informer l'assuré sur les catégories de destinataires de ses données. En pratique, cette obligation ne se traduit pas par une visibilité claire sur les prestataires réellement mobilisés. Une mutuelle ne se déresponsabilise pas en confiant la gestion technique à un tiers. Reste à voir si la CNIL traitera cette deuxième fuite Almerys comme une récidive aggravante.

Vous pouvez au moins reprendre la main sur ce qui vous concerne : demander à votre mutuelle qui traite vos données et exercer vos droits d'accès ou d'opposition. La démarche prend quelques minutes.

➡️ Découvrir où sont vos données

Dans la même série