Les "données administratives" de quelque 15 millions de Français, mais aussi des commentaires rédigés par leur docteur, ont fait l'objet d'une fuite massive lors d'une cyberattaque qui a visé 1.500 médecins utilisateurs d'un logiciel de la société Cegedim Santé ( AFP / LOIC VENANCE )
Les "données administratives" de quelque 15 millions de Français, mais aussi des commentaires rédigés par leur docteur, ont fait l'objet d'une fuite massive lors d'une cyberattaque qui a visé 1.500 médecins utilisateurs d'un logiciel de la société Cegedim Santé, a admis vendredi le ministère de la Santé.
Si cette fuite a principalement concerné des données telles que les nom, prénom, numéro de téléphone ou l'adresse postale des patients, elle a aussi, pour 169.000 d'entre eux, porté sur des annotations libres saisies par les médecins, "dont certaines peuvent être des données sensibles", soit "1% des cas", a précisé le ministère lors d'un point de presse.
Le piratage a porté sur "19 millions de lignes informatiques" (dont 4 millions de doublons) contenues dans une base de données ayant "entre 3 et 15 ans d'historique, en fonction de la date d'installation du logiciel dans les cabinets des médecins". Cela explique qu'elle contienne les données de millions de patients, soit bien plus que les informations saisies par 1.500 médecins, a expliqué le ministère.
"Il n'y a pas de documents de santé qui ont été diffusés, ni ordonnances, ni résultats d'examens de biologie", a affirmé la même source, tout en admettant ne pas avoir de "visibilité exhaustive sur l'étendue des données administratives" dérobées.
Pour le ministère, le seul fait nouveau relatif à ce cyberpiratage qui "date de la fin 2025" est sa "revendication par le hacker", à "l'identité" et "la nationalité" pour l'heure non identifiées. Un groupe de hackers nommé DumpSec a revendiqué le vol de ces données, expliquant qu'"un ancien membre" avait ensuite "décidé de revendre une partie des informations", rapporte l'expert en cybersécurité Damien Bancal sur son site.
Interrogée par l'AFP, la Commission nationale de l'informatique et des libertés (Cnil) a indiqué ne pas être "en capacité, à ce stade, de confirmer l'ampleur de la violation alléguée". Elle va analyser "ces révélations avec attention, et diligentera des contrôles si nécessaire".
Selon France 2, qui a révélé l'affaire jeudi soir, affirme avoir retrouvé des données "très précises" sur plusieurs patients -leur homosexualité ou qu'ils soient atteints du sida- émanant de la fuite. Des informations sur des dirigeants politiques de premier plan y figureraient aussi, selon la chaîne publique.
Vendredi, le ministère de la Santé a précisé à l'AFP avoir enjoint à la société Cegedim Santé, acteur important du secteur de la gestion des données médicales en France, de mettre "immédiatement en oeuvre" des mesures correctives après cette cyberattaque.
Cette société a porté plainte le 27 octobre 2025. "Des salariés ont signalé avoir reçu des courriels d'extorsion revendiquant le piratage de plusieurs milliers de données personnelles", a relaté vendredi le ministère public.
- "Annotations personnelles" des médecins -
Acteur important du secteur de l'hébergement des données médicales en France, Cegedim Santé -filiale de Cegedim- a admis vendredi avoir été victime fin 2025, d'une cyberattaque ayant visé 1.500 praticiens sur les 3.800 médecins utilisateurs de son logiciel MLM.
La ministre de la Santé, Stéphanie Rist, à l'Assemblée nationale, le 20 janvier 2026 à Paris ( AFP / Alain JOCARD )
Pour Cegedim, les données piratées proviennent "exclusivement" du dossier administratif des patients (nom, prénom, sexe, date de naissance, téléphone...) qui pouvait toutefois contenir, pour "un nombre très limité" d'entre eux, "des annotations personnelles du médecin concernant des informations sensibles".
Les "dossiers médicaux structurés des patients sont restés intègres", a assuré la société.
- "Sous investissement" -
Le ministère a de son côté pointé la responsabilité du "prestataire privé, responsable du traitement des données", martelant que cette fuite "ne résulte ni d'une défaillance des systèmes du ministère, ni d'une infrastructure relevant" de l'État.
Mais "les données de santé ont une dimension émotionnelle très forte, parce que ça touche à l'intimité" des personnes, souligne auprès de l'AFP l'expert Nicolas Arpagian, directeur de la stratégie de la société Jizô AI.
Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, la fuite "très grave", qui pourrait être "la plus grosse en France" dans la santé, aura des "conséquences irrémédiables". Car "une information de santé qui dit: +Vous avez le sida+ ou +vous avez telle maladie+, une fois qu'elle est sortie, vous ne pourrez plus jamais revenir en arrière", dit-il à l'AFP.
Il y voit la conséquence d'un "sous-investissement en cybersécurité depuis des années" dans la santé.
Agnès Giannotti, la présidente de MG France - principal syndicat de médecins généralistes - a reconnu vendredi sur France Inter "un vrai souci de confiance et de sécurité pour les patients et de pénalisation de notre exercice".
En septembre 2024, la Cnil avait infligé à Cegedim Santé une amende de 800.000 euros, pour avoir traité des données de santé sans autorisation.
1 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer