Quinze millions de Français viennent de perdre le contrôle de leurs données médicales. Le ministère de la Santé a confirmé ce vendredi 27 février une fuite massive issue du piratage d’un logiciel édité par la société Cegedim, spécialisée dans les outils numériques pour médecins. Noms, prénoms, numéros de téléphone, adresses postales : les informations administratives de millions de patients circulent désormais librement sur le dark web.
Le chiffre fait froid dans le dos. Mais le pire se cache dans les détails : pour 169 000 de ces patients, les données dérobées contiennent des annotations libres saisies par les médecins. Des notes personnelles, parfois d’une intimité vertigineuse.
Des secrets médicaux en libre-service
Les équipes de « L’Œil du 20 heures » de France 2 ont pu consulter cette base de données, accessible sans protection particulière. Ce qu’elles y ont trouvé dépasse le simple fichier administratif. « Porteuse sida », « serait homosexuelle d’après sa mère », « mère musulmane voilée », « catholique non pratiquante car ses 2 frères sont suicidés » : voilà le type d’annotations que certains médecins avaient saisies dans l’espace de commentaire libre du logiciel MLM, rapporte France 2.
Ces mentions concernent la santé mentale, l’orientation sexuelle, les croyances religieuses, des situations familiales comme l’incarcération d’un proche ou des violences subies. Des informations que la loi française classe comme « données sensibles » et dont le traitement est strictement encadré par le RGPD. France 2 a contacté plusieurs personnes figurant dans la base : toutes ont confirmé l’exactitude des informations les concernant.
1 500 médecins piratés, 3 800 visés
L’attaque a ciblé le logiciel MLM, un outil de gestion de cabinet médical édité par Cegedim Santé. Sur les 3 800 médecins qui utilisent ce logiciel, 1 500 ont été directement touchés par l’intrusion, selon le communiqué officiel de l’entreprise publié le 26 février. Cegedim affirme que l’incident remonte à « fin 2025 » et que « toutes les mesures nécessaires ont été prises pour circonscrire » la faille.
À lire aussi
Le ministère de la Santé a tenu à préciser que « l’incident ne concerne pas une infrastructure qui relèverait de l’État » et qu’il s’agit « d’un logiciel privé », selon le cabinet de la ministre Stéphanie Rist rapporté par Le Parisien. Le ministère distingue deux catégories de données compromises : les données administratives pures (15 millions de personnes) et les annotations potentiellement sensibles (169 000 personnes, soit environ 1 % des cas).
Des personnalités politiques dans la base
La fuite ne se limite pas aux patients anonymes. Selon France 2, des personnalités politiques de premier plan figurent dans la base volée : des candidats potentiels à la présidentielle, des députés, des hauts fonctionnaires et des responsables de la sécurité nationale. Le cabinet de la ministre Stéphanie Rist a indiqué ne pas disposer de précisions sur ce point, rapporte Le Parisien.
Le pirate qui revendique l’attaque a déclaré à France 2 n’avoir publié qu’une partie de la base. Ce qui laisse planer le risque de divulgations supplémentaires, de tentatives de chantage ou de revente sur les forums spécialisés du dark web.
Cegedim sous pression, les médecins se défendent
Cegedim a notifié la CNIL (Commission nationale de l’informatique et des libertés) et déposé plainte auprès du procureur de la République. Le parquet de Paris a ouvert une enquête, selon franceinfo. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a été saisie pour le volet cybersécurité.
Dans son communiqué, Cegedim « déplore cette situation » et « réaffirme son engagement total dans la lutte contre la cybercriminalité ». L’entreprise précise que « les dossiers médicaux structurés des patients sont restés intègres » et que seules les données du dossier administratif et les commentaires en texte libre ont été compromis.
Le syndicat MG France a réagi vendredi en refusant que « le médecin généraliste porte la moindre responsabilité pour la diffusion de ces informations au-delà de son logiciel médical propre ». Le syndicat a saisi la CNIL « pour obtenir la clarification indispensable sur les responsabilités que supportent, ou pas, les professionnels de santé », selon son communiqué relayé par Le Parisien.
Un enchaînement de fuites sans précédent
La France vit une séquence noire en matière de cybersécurité. En février 2024, la fuite des données de tiers payant chez Viamedis et Almerys avait déjà exposé les informations de 33 millions d’assurés sociaux. En août 2024, plusieurs hôpitaux franciliens avaient subi des attaques par rançongiciel, paralysant leurs systèmes pendant des semaines. Plus récemment, début février 2026, 1,2 million de comptes bancaires ont été compromis via un fichier de la Direction générale des finances publiques.
Cette accumulation pose une question structurelle. Le secteur de la santé français repose sur une mosaïque de logiciels privés, développés par des éditeurs dont les standards de sécurité varient considérablement. L’isolation client, la réponse à l’intrusion et les obligations de signalement ne suivent pas un cadre uniforme. La CNIL a infligé 4,2 millions d’euros d’amendes liées à des fuites de données de santé en 2024, un record, mais les sanctions restent faibles au regard du volume de données exposées.
Que faire si vous êtes concerné
Le ministère de la Santé n’a pas encore communiqué de dispositif permettant aux patients de vérifier si leurs données figurent dans la fuite. Cegedim devrait, conformément au RGPD, notifier individuellement les personnes dont les données sensibles ont été compromises. En attendant, la vigilance s’impose face aux tentatives de hameçonnage qui exploitent ce type de fuites : appels, SMS ou courriels se faisant passer pour des organismes de santé ou des mutuelles.
La CNIL doit maintenant déterminer si Cegedim avait mis en place des mesures de protection suffisantes et si le délai de signalement a été respecté. Le gendarme des données personnelles dispose d’un pouvoir de sanction pouvant atteindre 4 % du chiffre d’affaires mondial de l’entreprise. Cegedim, coté en Bourse, a réalisé 616 millions d’euros de chiffre d’affaires en 2024.
