C’est peut-être la plus grosse fuite de données de santé jamais survenue en France. Et pourtant, il a fallu attendre qu’une enquête de France 2 la révèle au grand public, le 26 février 2026, pour que l’affaire sorte enfin du circuit fermé des notifications réglementaires. La cyberattaque remonte à fin 2025. La plainte de Cegedim Santé, elle, date du 27 octobre 2025. Entre les deux et la révélation télévisée, quatre mois se sont écoulés pendant lesquels 15 millions de Français concernés n’avaient strictement aucune idée que leurs données médicales circulaient sur le dark web.
L’attaque a ciblé le logiciel MLM (MonLogicielMedical.com), édité par Cegedim Santé, une filiale du groupe Cegedim. Ce logiciel est utilisé par 3800 médecins en France, dont 1500 ont été directement touchés par l’intrusion. Selon l’éditeur, un “comportement anormal de requêtes applicatives” a été détecté sur des comptes de praticiens, mettant en lumière l’intrusion d’un pirate dans le système.
Avec @ALehenanff , ministre déléguée chargée de l’Intelligence artificielle et du Numérique, nous avons réuni hier à Bercy la société Cegedim afin d’obtenir des clarifications complètes sur l’incident de cybersécurité et sur les mesures mises en œuvre pour informer les… pic.twitter.com/7JEPrtOiv8
— Stéphanie RIST (@stephanie_rist) March 5, 2026
Ce que contient la fuite (et pourquoi c’est grave)
Cegedim affirme que les informations compromises proviennent “exclusivement du dossier administratif du patient” : nom, prénom, sexe, date de naissance, numéro de téléphone, adresse, e-mail. Rien de médical, donc, à en croire l’éditeur. Le problème, c’est que cette version ne tient pas entièrement la route. Le logiciel MLM comporte un champ de texte libre, laissé à la discrétion du médecin, initialement prévu pour des annotations administratives. En pratique, beaucoup de praticiens y ont noté des informations bien plus sensibles : pathologies, traitements en cours, orientation sexuelle, addictions, état psychologique. Cegedim concède que “pour un nombre très limité de patients“, ce champ a pu contenir des données sensibles. Un pourcentage restreint, qui selon les chiffres avancés par le ministère de la Santé grimperait tout de même à 164 000 personnes.
France 2, qui a pu consulter une partie de la base, affirme y avoir retrouvé des informations particulièrement détaillées sur certains patients : séropositivité, homosexualité, troubles psychiatriques… Des données sur des personnalités politiques de premier plan y figureraient également, selon la chaîne.
Quatre mois de silence radio
C’est sur ce point précis que l’affaire s’emmêle. Cegedim détecte l’intrusion fin 2025. L’entreprise porte plainte le 27 octobre. Les médecins concernés ne sont prévenus qu’en janvier 2026, sans que l’ampleur réelle de la fuite leur soit communiquée. Et ce n’est que le 26 février, lorsque France 2 diffuse son enquête, que le public découvre ce qui s’est passé. La ministre de la Santé, Stéphanie Rist, déclare avoir été informée “la veille” de la diffusion du reportage.
Si comme souvent, un prestataire privé est pointé du doigt, l’enjeu est bien réel. Difficile d’expliquer pourquoi quatre mois se sont écoulés avant que les Françaises et les Françait aient été informés de l’incident. Le RGPD impose pourtant de notifier les personnes touchées “dans les meilleurs délais” lorsqu’une violation de données présente un risque élevé pour leurs droits. France Assos Santé souligne d’ailleurs que les patients n’ont toujours aucun moyen de savoir ce que contenait le champ de texte libre de leur propre dossier, et donc de mesurer la gravité de ce qui les concerne personnellement.
Un prestataire déjà dans le viseur de la CNIL
L’affaire n’est pas un cas isolé dans le paysage de la cybersécurité médicale française. Ces dernières années, une trentaine d’hôpitaux ont été victimes de cyberattaques. Cegedim Santé, de son côté, avait déjà fait l’objet d’une sanction de la CNIL en 2024, pour des traitements de données de santé réalisés sans autorisation préalable. Le parquet de Paris a ouvert une enquête pour “atteintes à un système automatisé de données“.
Pour les 15 millions de Français potentiellement touchés, les recours sont limités. On vous conseille comme habituellement, de surveiller vos comptes, rester vigilant face aux tentatives de phishing ciblé utilisant des données personnelles.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
