Plus de 15 millions de numéros de sécurité sociale potentiellement exposés : la cyberattaque subie par Almerys le 22 mai 2026 concerne la patientèle de la quasi-totalité des pharmacies françaises, dont 98 % sont partenaires de ce réseau de tiers payant. Précision opérationnelle importante : à l'officine, les services Visiodroits et télétransmission restent fonctionnels. Le vrai risque est ailleurs. Votre comptoir sera interrogé par des patients inquiets, des fraudeurs armés de données précises et des organismes complémentaires en alerte : ce guide vous dit exactement quoi faire, étape par étape.
Un opérateur central du tiers payant compromis : 98 % des pharmacies partenaires du réseau
Almerys n'est pas un prestataire parmi d'autres. Filiale d'Orange Business Services, c'est l'infrastructure silencieuse du tiers payant pour Alan, MGEN, Harmonie Mutuelle et AG2R La Mondiale, entre autres. Près de 200 000 professionnels de santé sont partenaires du réseau, dont 98 % des pharmacies françaises (Almerys, données réseau 2026). Chaque vérification de droits en temps réel, chaque accord de prise en charge délivré au comptoir transite habituellement par cette plateforme. C'est ce qui donne à l'incident sa portée systémique : ce n'est pas votre officine qui est piratée, c'est l'opérateur central par lequel passe la couverture santé d'une large partie de votre patientèle.
Le 22 mai 2026, Alan a confirmé avoir été informé par Almerys d'une cyberattaque ayant entraîné une fuite de données affectant ses assurés. Almerys a lui-même confirmé l'incident le 25 mai 2026 et indiqué avoir déposé plainte auprès du procureur de la République, saisi la CNIL et l'ANSSI (Acuité, 26 mai 2026). La plateforme de prise en charge destinée aux transmissions a été mise hors service pour stopper l'atteinte, avec une restauration annoncée d'ici le 31 mai (SantéMatin, 25 mai 2026). Cette fermeture a surtout affecté l'optique, l'audioprothèse et les établissements de santé : à l'officine, les principaux services (Visiodroits, télétransmission) sont restés fonctionnels (Le Quotidien du Pharmacien, 26 mai 2026).
Le hacker revendique un fichier unique contenant plus de 15 452 549 numéros de sécurité sociale et des données couvrant potentiellement la période 2010-2026, soit 16 ans d'historique (FrenchBreaches, 25 mai 2026). Ce chiffre n'a pas été officiellement confirmé par Almerys dans son intégralité : il doit être traité comme une estimation haute, l'authenticité complète de la base revendiquée n'ayant pas été établie publiquement.
Ce n'est pas la première fois. En janvier 2024, une fuite couplée Viamedis-Almerys avait exposé les données de plus de 33 millions de Français, soit près d'un sur deux. La CNIL avait alors ouvert une enquête et l'ANSSI avait été notifiée (ONP, février 2024). Deux ans plus tard, la même infrastructure est à nouveau compromise. Le danger est cumulatif : chaque fuite enrichit les outils des cybercriminels en complétant des dossiers déjà constitués à partir d'incidents antérieurs.
Ce que les fraudeurs peuvent faire avec ces données à votre comptoir
Les coordonnées bancaires et les données médicales ne figurent pas dans les informations exposées. Le risque n'en est pas moins réel. Un fraudeur disposant d'un nom, d'une date de naissance, d'un numéro de sécurité sociale, d'un nom d'assureur et de dates de couverture peut construire un message de phishing extrêmement plausible, ciblé sur un assuré identifié (Économie Matin, 25 mai 2026).
Pour l'officine, le vrai risque est double. Premier scénario : un patient se présente avec une carte de tiers payant reconstituée ou usurpée, enrichie de données authentiques issues de la fuite. L'Assurance Maladie détectait déjà 628 millions d'euros de fraudes en 2024 et la Cour des comptes en évalue le montant total à plus de 3,8 milliards d'euros (Le Moniteur des Pharmacies, novembre 2025). Les usurpations d'identité font partie des formes de fraude recensées par l'Assurance Maladie. Second scénario : vos propres équipes reçoivent un SMS ou un courriel frauduleux imitant Almerys, votre LGO ou un organisme complémentaire, vous invitant à cliquer sur un lien ou à fournir vos identifiants de connexion.
Vos obligations légales en tant que point de délivrance et responsable de traitement
En tant que titulaire, vous êtes responsable de traitement au sens du Règlement général sur la protection des données (RGPD). Ce statut implique des obligations concrètes, rappelées dans le référentiel conjoint CNIL et Ordre national des pharmaciens (ONP) publié en septembre 2023. En cas de violation de données dans votre officine, vous devez notifier la CNIL dans un délai de 72 heures ; si le risque est élevé pour les personnes concernées, vous devez les informer directement. Le défaut de notification constitue un manquement supplémentaire sanctionnable (DPO-Partage, février 2026).
La cyberattaque Almerys ne vous place pas en situation de violation de données propre à votre officine. Elle vous impose en revanche une vigilance renforcée sur trois fronts : la sécurité de vos accès LGO, la gestion des patients qui se présenteraient en citant des informations issues de la fuite, et la protection de votre propre identité numérique de professionnel de santé. L'ONP a d'ailleurs constaté depuis plusieurs mois une recrudescence d'usurpations d'identité ciblant des officines pour vendre frauduleusement des médicaments en ligne (Le Moniteur des Pharmacies, novembre 2025).
| Catégorie de données | Statut | Source |
|---|---|---|
| Numéro de sécurité sociale (NIR) | Confirmé exposé (Alan, 23 mai 2026) | Alan communiqué, FrenchBreaches |
| Nom, prénom, date de naissance | Confirmé exposé | Alan communiqué |
| Numéro d'adhérent mutuelle et contrat | Confirmé exposé | Alan communiqué, FrenchBreaches |
| Données bancaires | Non exposées (confirmé) | Alan, 23 mai 2026 |
| Données médicales et remboursements détaillés | Non exposés (confirmé) | Alan, 23 mai 2026 |
| Mots de passe et coordonnées de contact | Non exposés (confirmé) | Alan, 23 mai 2026 |
| Volume total de personnes concernées | Non confirmé officiellement à ce stade | Alan, 26 mai 2026 |
| Sources : Alan communiqué du 23 mai 2026, FrenchBreaches 25 mai 2026, SantéMatin 25 mai 2026, Acuité 26 mai 2026 | ||
"Nous vous recommandons de faire preuve d'une vigilance accrue dans les prochaines semaines si vous recevez des messages suspects semblant provenir d'Alan ou d'autres organismes."
Ce que vous devez faire, et dans quel ordre
Action 1 : Briefer votre équipe ce matin, avant l'ouverture
Informez chaque membre de l'équipe, adjoint et préparateurs inclus, du contexte exact : Almerys a subi une cyberattaque le 22 mai 2026, des données d'assurés ont été exposées, la plateforme de prise en charge a été temporairement coupée jusqu'au 31 mai environ, mais vos services officinaux Visiodroits et télétransmission restent opérationnels. Deux messages clés à transmettre aux patients :
Message 1 : Leur mutuelle ou l'Assurance Maladie ne leur demandera jamais, par SMS ou courriel, de cliquer sur un lien pour renouveler une carte ou débloquer un remboursement. Tout message créant une urgence sur ce type de sujet est une tentative de phishing.
Message 2 : Si un patient est contacté par quelqu'un qui cite son numéro de sécurité sociale, son nom de mutuelle et ses dates de couverture en se faisant passer pour un organisme de santé, il doit raccrocher et contacter directement sa mutuelle via le numéro figurant sur sa carte, jamais via un lien reçu par message.
Affichez si possible une note courte en zone de comptoir : "Suite à une cyberattaque récente touchant un opérateur de tiers payant, soyez vigilant face aux messages suspects concernant votre mutuelle." Cela réduit le temps passé à expliquer individuellement et renforce la confiance du patient envers l'officine comme point d'information de confiance.
Action 2 : Sécuriser vos accès professionnels Almerys et LGO dans les 48 heures
L'ONP recommandait déjà en février 2024, après la première fuite, de changer immédiatement le mot de passe de la messagerie associée au compte Almerys (ONP, février 2024). Appliquez cette recommandation maintenant, en ajoutant l'activation de la double authentification si votre LGO le permet. Vérifiez également :
Qui a accès à votre interface Almerys ? Supprimez les accès d'anciens salariés ou prestataires qui ne sont plus actifs. Les accès aux traitements doivent être tracés : c'est une obligation du référentiel CNIL (CNIL, délibération juillet 2022). Vérifiez que votre contrat avec l'éditeur de votre LGO comporte les clauses obligatoires de sous-traitance RGPD (article 28 du RGPD). La responsabilité du choix de vos prestataires vous incombe en tant que responsable de traitement.
Compte tenu du traitement de données de santé à grande échelle inhérent à l'activité officinale, la désignation d'un Délégué à la Protection des Données (DPO) et la réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD) sont fortement recommandées, voire obligatoires selon la volumétrie de votre patientèle et la nature de vos traitements (RGPD, article 37 ; référentiel CNIL et ONP, septembre 2023). C'est une protection autant qu'un réflexe de conformité.
Action 3 : Mettre en place un protocole de vigilance au comptoir pour les 30 prochains jours
Pendant la période de risque élevé, appliquez ces réflexes à chaque prise en charge suspecte :
Doute sur une carte mutuelle présentée ? Demandez systématiquement une pièce d'identité pour les prises en charge sur les mutuelles Alan, MGEN, Harmonie Mutuelle et AG2R. Vous êtes en droit de le faire. Notez tout refus inhabituel de droits ou retour d'erreur inattendu de la plateforme Almerys en cours de restauration.
Signalement obligatoire : si vous constatez une tentative de fraude avérée (carte usurpée, identité douteuse), signalez-la à la Caisse primaire d'assurance maladie (CPAM) de votre secteur et à l'ONP via le formulaire de signalement dédié (Le Moniteur des Pharmacies, novembre 2025). Conservez les documents et captures d'écran : un signalement complet doit inclure les circonstances de découverte des faits, l'identité de la personne visée et les preuves disponibles. PharmaPex permet de centraliser la traçabilité de vos incidents de sécurité, de vos alertes de rejets inhabituels et de vos échanges avec les caisses pour constituer un dossier documenté en cas de contrôle.
Indicateur à suivre : surveillez chaque semaine le volume de rejets de droits sur les mutuelles citées ci-dessus et toute demande de délivrance sans carte valide dans les 30 prochains jours. Une hausse inhabituelle doit déclencher un signalement à votre CPAM.