Le groupe UnitedHealth a déjà fait l'objet d'au moins six recours collectifs l'accusant de ne pas avoir protégé les données personnelles de millions de personnes à la suite du piratage, le mois dernier, de Change Healthcare, son unité de traitement des paiements, et d'autres actions en justice sont susceptibles d'être intentées.

Dans une requête déposée mardi en fin de journée à Washington, les avocats des plaignants ont demandé à une commission judiciaire fédérale de regrouper les six affaires devant le tribunal fédéral de Nashville (Tennessee), où se trouve le siège de Change, et ont indiqué qu'ils s'attendaient à ce que d'autres actions soient intentées.

L'ampleur que pourrait prendre le litige n'est pas connue, car on ne sait pas exactement quelle quantité ou quel type d'informations ont été compromises lors de l'attaque, qui a été menée par le groupe de pirates informatiques BlackCat, spécialisé dans les ransomwares.

UnitedHealth, qui a révélé l'attaque le 21 février sans préciser le nombre de personnes touchées, a déclaré dans un communiqué mercredi qu'elle se concentrait sur le rétablissement des opérations de Change.

UnitedHealth n'a pas indiqué si BlackCat avait demandé une rançon, mais un message publié sur un forum en ligne utilisé par les pirates informatiques affirmait que la société avait payé 22 millions de dollars aux pirates pour récupérer l'accès à ses systèmes verrouillés.

En vertu du Health Insurance Portability and Accountability Act (HIPAA), une loi américaine sur la protection de la vie privée dans le domaine de la santé, les entreprises disposent de 60 jours après la découverte d'une violation de données pour informer les personnes concernées que leurs informations personnelles ont été compromises.

En cas de violation touchant plus de 500 personnes, l'entreprise doit en informer les autorités de réglementation fédérales et les médias de premier plan. Jusqu'à présent, UnitedHealth n'a pas donné cette notification.

Change traite environ 50 % des demandes de remboursement de frais médicaux aux États-Unis pour quelque 900 000 médecins, 33 000 pharmacies, 5 500 hôpitaux et 600 laboratoires.

L'attaque a interrompu les opérations de Change, laissant les fournisseurs, y compris les grands systèmes hospitaliers, les petits cabinets médicaux et les pharmacies dans l'incapacité de percevoir les paiements. Selon le site web de UnitedHealth, Change devrait reprendre le traitement des paiements d'ici le 15 mars.

Toutes les actions en justice affirment que Change n'a pas protégé les informations personnelles des patients, les exposant ainsi au risque d'usurpation d'identité et de violation de la vie privée. Certains affirment également que les patients n'ont pas pu faire exécuter leurs ordonnances parce que leurs demandes d'assurance ne pouvaient pas être traitées, ce qui mettait leur santé en danger.

Les plaignants affirment que les informations stockées par Change, et désormais potentiellement en danger, comprennent des dossiers médicaux, des informations de paiement, des noms et des numéros de sécurité sociale. L'une des actions en justice affirme que "des informations provenant de la violation de données se trouvent sur le dark web et sont déjà proposées à la vente", sans toutefois fournir de détails à l'appui de cette affirmation.

Les poursuites accusent l'entreprise de négligence et de violation des exigences en matière de protection de la vie privée de la loi HIPAA et de diverses lois nationales.

Quatre des actions sont intentées contre Change à Nashville, et deux contre UnitedHealth dans l'État d'origine de la société mère, le Minnesota.

La motion de mardi a été déposée par les avocats des affaires de Nashville. Les avocats des affaires du Minnesota pourraient déposer une requête concurrente pour que les affaires soient transférées à leur tribunal, auquel cas le groupe judiciaire américain sur les litiges multidistricts déciderait où les envoyer. (Reportage de Brendan Pierson à New York, édition d'Alexia Garamfalvi et Aurora Ellis)