Une base contenant des informations médicales particulièrement sensibles concernant entre 11 et 15 millions de Français était accessible en libre accès, selon une enquête de France 2. La société Cegedim, citée par le pirate, conteste certains éléments mais reconnaît une extraction illégale de données fin 2025. Un nouvel épisode qui souligne la vulnérabilité des données de santé en France.
La France vient d’essuyer à nouveau un vol de données massif concernant les dossiers médicaux de plusieurs millions de Français. L’alerte a été donnée dans une enquête diffusée dans le JT du 20 heures de France 2 jeudi 26 février. La chaîne affirme avoir consulté une base de données exposée, concernant entre 11 et 15 millions de personnes. Certaines fiches contiendraient des informations médicales extrêmement sensibles, saisies par des professionnels de santé dans des champs libres du logiciel de gestion de leur cabinet.
Parmi les mentions relevées : « porteuse sida !!! !!!! », « serait homosexuelle d’après sa mère », « mère musulmane voilée », ou encore des éléments relatifs à des antécédents familiaux et à des suicides. France 2 assure avoir contacté plusieurs personnes figurant dans la base, lesquelles confirment l’authenticité des données les concernant.
Le pirate, qui affirme être à l’origine du vol, désigne la société Cegedim. Spécialisée dans les logiciels médicaux, l’entreprise fournirait, selon une estimation de la CNIL citée par l’enquête, 25 000 cabinets médicaux et 500 centres de santé. Des personnalités politiques de premier plan, de hauts fonctionnaires et des responsables liés à la sécurité nationale figureraient également dans la base.
La version de Cegedim : un incident circonscrit
Dans un communiqué diffusé après le reportage, Cegedim Santé indique avoir détecté fin 2025 un « comportement anormal de requêtes applicatives » sur des comptes médecins utilisant le logiciel MLM (MonLogicielMedical.com). Sur 3 800 médecins utilisateurs, 1 500 seraient concernés par l’attaque.
L’entreprise affirme avoir contacté les praticiens début janvier afin de les accompagner dans leurs démarches de notification à la CNIL et d’information des patients, conformément au RGPD (règlement européen de protection des données personnelles). Elle précise avoir notifié l’incident aux autorités compétentes et déposé plainte.
Selon Cegedim, les données consultées ou extraites proviennent exclusivement du dossier administratif : nom, prénom, sexe, date de naissance, téléphone, adresse, e-mail et commentaire administratif libre. La société soutient que les dossiers médicaux structurés seraient restés intègres.
Elle conteste par ailleurs avoir été contactée par le cybercriminel, contrairement à ce que celui-ci affirme. L’entreprise insiste sur le caractère « circonscrit » de l’incident et sur sa coopération avec les autorités.
Cegedim sanctionné par la CNIL en 2024
Cependant, un hackeur éthique, SaaX, évoque pour sa part plus de 65 millions de données médicales revendiquées par le groupe Dumpsec et affirme avoir consulté un échantillon de plus de 22 millions d’entrées. Les informations décrites correspondent en grande partie aux éléments administratifs mentionnés par Cegedim, mais le champ « commentaire » contiendrait, selon lui, des annotations très sensibles : séropositivité, cancers, historiques familiaux, éléments de vie privée. Ces affirmations nécessitent vérification indépendante quant aux volumes exacts et à l’ampleur réelle de la diffusion.
Ce nouvel épisode intervient après une sanction infligée à Cegedim Santé par la CNIL en septembre 2024. La société avait écopé à l’époque d’une amende de 800 000 euros pour traitement illicite massif de données de santé via le logiciel Crossway, utilisé par 2 000 médecins. L’autorité reprochait notamment des manquements à l’anonymisation des données et à l’information des personnes concernées. L’entreprise contestait la décision, sans que la sécurité technique des données ne soit alors directement mise en cause.
Une France particulièrement exposée
Cette nouvelle affaire s’inscrit dans un contexte de vulnérabilité accrue pour la France. Le secteur de la santé a, en effet, subi plus de 30 attaques par rançongiciel en deux ans. En 2024, les incidents déclarés ont progressé de 21 % selon l’Observatoire de Cyberveille Santé. La CNIL a reçu 5 629 notifications de violations la même année, en hausse de 20 %.
À l’échelle mondiale, 425,7 millions de comptes ont été compromis en 2025, soit près d’un compte piraté chaque seconde. Avec 40,3 millions de comptes touchés, la France se classe au deuxième rang mondial. La numérisation rapide du système de santé, sans renforcement proportionnel des dispositifs de sécurité, place les données médicales françaises parmi les plus exposées d’Europe.
Le ministère de la Santé attend les conclusions des investigations en cours
Sollicité, le ministère de la Santé a indiqué avoir “pris connaissance” de cet incident et a tenu à rappeler qu’il concernait “un prestataire privé, responsable du traitement des données”. “Il ne résulte ni d’une défaillance des systèmes du ministère, ni d’une infrastructure relevant directement de l’État”, a poursuivi le ministère dans un message à l’AFP. La ministre de la Santé, Stéphanie Rist, a demandé à Cegedim Santé de rendre compte des causes de l’incident, des “mesures correctives” mises en œuvre et “des garanties” apportées afin de prévenir toute nouvelle fuite de données. “Le ministère attend les conclusions des investigations en cours et veillera, en lien avec les autorités compétentes, à ce que toute la transparence soit faite sur cette situation”.
L’affaire Cegedim, par son ampleur potentielle et la sensibilité des informations concernées, illustre combien la donnée de santé est désormais une cible stratégique, et la France apparaît comme un terrain particulièrement vulnérable.