Aller au contenu principal
Regards ActuelsL'essentiel, en profondeur.
Santé

Fuite Cegedim :
vos données médicales dans la nature, et maintenant ?

Entre 11 et 15 millions de patients, 164 000 dossiers de données sensibles, quatre mois de silence avant la révélation France 2 le 26 février 2026. Au 1er mai 2026, aucune notification individuelle. Vos recours et protections.

Mis à jour le mardi 5 mai 2026 — 13h08
13 min
Helene Fabre
Technicienne en blouse blanche manipulant des échantillons biologiques avec une pipette dans un laboratoire
La fuite Cegedim a exposé les données administratives de 11 à 15 millions de patients français, dont 164 000 dossiers contenant des informations médicales sensibles© AFP / Roslan RAHMAN

Mise à jour — 1er mai 2026. L'enquête de la CNIL est toujours en cours, plus de deux mois après la révélation publique. Aucune notification individuelle des patients concernés n'a été déclenchée. Aucune action de groupe n'a été lancée. Cegedim Santé a été convoqué à Bercy le 5 mars 2026 par les ministres Stéphanie Rist (Santé) et Anne Le Hénanff (ministre déléguée chargée de l'Intelligence artificielle et du Numérique), qui ont exigé l'accélération de la mise en conformité avec NIS2 et le Cyber Resilience Act, ainsi que le renforcement immédiat de l'authentification multi-facteurs.

L'Essentiel
  • Entre 11 et 15 millions de patients exposés, 164 000 dossiers avec données sensibles selon le ministère de la Santé.
  • Origine : champ « commentaire libre » du logiciel MonLogicielMédical (MLM) édité par Cegedim Santé.
  • 1 500 cabinets médicaux compromis sur 3 800 utilisateurs du logiciel — révélation France 2 le 26 février 2026.
  • Cegedim déjà sanctionné de 800 000 € par la CNIL le 5 septembre 2024, confirmé par le Conseil d'État le 13 février 2026.
  • RGPD : droit d'accès (article 15), droit à l'effacement (article 17), droit à réparation (article 82).

Un champ texte libre dans un logiciel médical. Une zone où les médecins notaient en quelques mots ce que le dossier structuré ne prévoyait pas : un statut sérologique, une addiction, des violences subies, un état psychologique, une orientation sexuelle mentionnée par un proche.

Ce champ, présent dans le logiciel MonLogicielMédical (MLM) édité par Cegedim Santé, a fuité sur le dark web. Pour 164 000 patients, il contenait des informations cliniques sensibles. Et les données administratives — noms, dates de naissance, adresses, téléphones, emails — d'entre 11 et 15 millions de Français ont été exposées avec.

Plus de deux mois après la révélation par France 2 le 26 février 2026, les patients n'ont toujours pas été individuellement informés. Aucune compensation n'a été annoncée. La CNIL enquête. Et la question reste entière : que risquez-vous, et que pouvez-vous faire ?

Ce qui a fuité : 15 millions d'administratifs et 164 000 sensibles

Type de donnéesVolumeContenu
Données administratives11 à 15 millionsNom, prénom, date de naissance, téléphone, adresse, email
Données sensibles (champ libre)~164 000Pathologies, traitements, statut VIH, addictions, orientation sexuelle, violences subies, état psychologique

Cegedim Santé a précisé que les dossiers médicaux structurés — prescriptions, résultats d'analyses, comptes rendus de consultations — n'ont pas été compromis. Seul le champ « commentaire administratif libre » a été touché.

La frontière entre administratif et médical était inexistante dans la pratique. Les médecins y inscrivaient des informations cliniques sensibles que le formulaire structuré ne permettait pas de saisir simplement. La forme du champ — texte libre, sans typage strict — a transformé une zone administrative en zone médicale de fait.

Les données ont été mises en vente sur le forum BreachForums par le groupe cybercriminel DumpSec, qui a revendiqué la cyberattaque après l'échec d'une tentative d'extorsion contre Cegedim. Le groupe avance le chiffre de 65 millions de données exposées (chaque dossier contenant plusieurs champs), à distinguer du nombre de patients concernés (entre 11 et 15 millions selon le ministère de la Santé).

Le champ « commentaire libre » : la faille structurelle

Le logiciel MLM (MonLogicielMédical) est utilisé par environ 3 800 cabinets médicaux français. 1 500 ont été compromis dans la cyberattaque, soit près de 40 % des utilisateurs.

Cegedim Santé édite plus largement des logiciels de gestion utilisés par environ 25 000 cabinets médicaux et 500 centres de santé en France selon les données CNIL. La société est l'un des principaux éditeurs de logiciels médicaux du marché français, aux côtés notamment de Pharmagest, Maincare Solutions, CompuGroup Medical, Equasens et Orisha pour les logiciels de ville, et de Dedalus, Maincare et CompuGroup pour le segment hospitalier.

L'attaque a exploité un comportement anormal de requêtes applicatives sur les comptes médecins, détecté par Cegedim fin octobre 2025. La fuite n'est pas due à une faille de sécurité spectaculaire, mais à l'aspiration progressive de données via des comptes utilisateurs compromis. Le mode opératoire est commun. Sa banalité est précisément ce qui le rend dangereux.

Quatre mois de silence : la chronologie accablante

La séquence rendue publique par l'enquête de France Télévisions a établi la chronologie suivante.

  • Fin octobre 2025 — Cegedim détecte un « comportement anormal de requêtes applicatives » sur les comptes des médecins utilisateurs de MLM.
  • 27 octobre 2025 — L'entreprise dépose plainte auprès du parquet de Paris et notifie la CNIL.
  • 19 janvier 2026 — Trois mois plus tard, un email est envoyé aux 1 500 médecins concernés.
  • 13 février 2026 — Le Conseil d'État confirme une précédente sanction CNIL de 800 000 euros contre Cegedim Santé pour traitement illicite de données de santé (affaire distincte mais éclairante).
  • 26 février 2026 — France 2 révèle l'ampleur de la fuite au journal de 20 heures.
  • 5 mars 2026 — Cegedim convoqué à Bercy par Stéphanie Rist (ministre de la Santé) et Anne Le Hénanff (ministre déléguée à l'IA et au Numérique).
  • 1er mai 2026 — Aucune notification individuelle des 11 à 15 millions de patients concernés.

L'article 34 du RGPD impose au responsable de traitement de notifier les personnes concernées « dans les meilleurs délais » lorsqu'une violation présente un risque élevé pour leurs droits et libertés (l'article 33 imposant de son côté la notification à la CNIL sous 72 heures). Quatre mois entre la détection et la révélation publique, sept mois sans notification individuelle au 1er mai 2026, pour des données incluant le statut VIH et des violences sexuelles, posent un problème de conformité immédiat.

La ministre de la Santé Stéphanie Rist a elle-même déclaré n'avoir appris l'existence de la fuite que la veille au soir de l'annonce publique du 26 février. Un médecin généraliste interviewé par Medscape a témoigné : « On n'a pas eu de vrai accompagnement. À peine un email, qui n'indiquait même pas les noms des médecins à qui il était adressé. Il n'est pas normal que le médecin ait la responsabilité de contacter les patients pour les informer. »

Ce que des criminels peuvent faire de vos données médicales

Les données administratives (nom, téléphone, email, adresse) alimentent le phishing ciblé, l'usurpation d'identité, le démarchage frauduleux. Les données sensibles ouvrent des possibilités plus graves.

Chantage. Un statut sérologique, une addiction, une orientation sexuelle non rendue publique : autant de leviers d'extorsion. La menace de révélation suffit à faire payer. Les données sont sur le dark web — accessibles à quiconque les cherche.

Discrimination. Un employeur, un assureur, un bailleur qui croiserait ces données avec un nom et une date de naissance pourrait discriminer sans que la victime le sache. La loi l'interdit. La pratique existe — et reste difficile à prouver.

Exploitation psychologique. Des informations sur des violences subies ou un état psychiatrique permettent de cibler des personnes vulnérables — pour des arnaques sentimentales, du harcèlement, ou du social engineering sophistiqué. Le lien avec les Arnaque carte Vitale : comment l'IA fait évoluer les pièges documentées en France depuis 2024 est direct.

L'expert en cybersécurité Jérôme Billois (Wavestone) a qualifié la fuite de « très grave » avec des « conséquences irréversibles » dans plusieurs interviews depuis fin février. Sa formule clé : les données médicales, contrairement à un mot de passe, ne se changent pas.

Comment savoir si vous êtes concerné

La première étape est de contacter votre médecin traitant et de lui demander s'il utilisait le logiciel MLM de Cegedim Santé. Sur 3 800 cabinets équipés, 1 500 ont été compromis. Si votre médecin est concerné, demandez-lui ce que contenait précisément le champ texte libre de votre dossier.

Plusieurs gestes pratiques pour vous protéger en parallèle.

Vérifier. Consultez haveibeenpwned.com avec l'adresse email associée à votre cabinet médical. Le site recense les fuites publiques connues.

Se protéger. Changez les mots de passe de tous les comptes liés à cette adresse email. Activez l'authentification à deux facteurs (2FA) sur la banque, la messagerie, l'espace Ameli et la pharmacie en ligne. Soyez vigilant face à tout email ou appel inattendu citant des informations médicales précises.

Signaler. Tout contact suspect lié à vos données médicales peut être signalé sur Cybermalveillance.gouv.fr, plateforme officielle d'assistance aux victimes.

Vos recours juridiques : RGPD articles 15, 17, 82

Le Règlement général sur la protection des données (RGPD), en vigueur en France depuis le 25 mai 2018, ouvre trois recours concrets aux personnes concernées par une violation de données.

  • Article 15 — droit d'accès. Vous pouvez demander à Cegedim de vous communiquer le détail exact des données vous concernant qui ont été exposées. La réponse doit intervenir sous un mois (deux mois si demande complexe).
  • Article 17 — droit à l'effacement. Vous pouvez exiger la suppression de vos données du système Cegedim, sauf obligations légales contraires (conservation médicale par votre médecin).
  • Article 82 — droit à réparation. Vous pouvez réclamer un dédommagement pour le préjudice subi. La Cour de justice de l'Union européenne (arrêts C-182/22 et C-189/22) a précisé que la simple violation du RGPD ne suffit pas : il faut prouver un préjudice matériel ou moral, sans seuil minimal de gravité. La jurisprudence accorde généralement entre 500 et 3 000 euros pour des fuites de données standards. Pour les 164 000 patients dont les données sensibles ont fuité, les montants pourraient être supérieurs.

Une action de groupe est juridiquement possible en France depuis la loi du 18 novembre 2016 (modernisation de la justice du XXIe siècle), dont la portée a été étendue à la réparation effective des dommages par la loi du 20 juin 2018 relative à la protection des données personnelles. Aucune n'a été lancée à ce jour pour la fuite Cegedim. Plusieurs cabinets spécialisés en droit numérique l'envisagent, sans annonce officielle au 1er mai 2026.

La plainte individuelle auprès de la CNIL reste accessible et gratuite. Elle peut être déposée en ligne en quelques minutes. La CNIL n'attribue pas de compensation directe, mais peut sanctionner administrativement le responsable.

Cegedim, récidiviste : la sanction CNIL de 800 000 € (5 septembre 2024)

Ce n'est pas la première fois que Cegedim Santé est épinglée pour la gestion des données de ses patients.

Le 5 septembre 2024, la CNIL a infligé à Cegedim Santé une amende de 800 000 euros pour traitement illicite de données de santé. À la suite de contrôles menés en 2021, l'autorité a établi que la société collectait — sans autorisation — des informations médicales reliées à des identifiants patients non anonymisés. Année de naissance, sexe, allergies, antécédents, taille, poids, diagnostic, prescriptions, arrêts de travail, résultats d'analyse : autant de données utilisées dans des études statistiques vendues à des clients.

L'autorité a relevé que ces données n'étaient pas réellement anonymes mais simplement pseudonymes : la réidentification des patients restait techniquement possible. Le Conseil d'État a confirmé cette sanction le 13 février 2026 — soit deux semaines avant la révélation publique de la fuite MLM. La concomitance n'a pas échappé aux observateurs.

NIS2 et Cyber Resilience Act : ce que Bercy a exigé

Le 5 mars 2026, Cegedim a été convoqué à Bercy par Stéphanie Rist (ministre de la Santé) et Anne Le Hénanff (ministre déléguée chargée de l'Intelligence artificielle et du Numérique).

Trois exigences ont été formulées par les autorités françaises.

  1. Mise en conformité accélérée avec la directive européenne NIS2 (Network and Information Security 2), transposée en droit français en 2024 et imposant des obligations de cybersécurité aux entreprises critiques, dont les éditeurs de logiciels de santé.
  2. Mise en conformité avec le Cyber Resilience Act (CRA) européen, applicable progressivement entre 2026 et 2027, qui impose des standards minimaux de sécurité aux produits numériques connectés.
  3. Renforcement immédiat de l'authentification multi-facteurs (MFA) sur tous les accès médecins au logiciel MLM, en remplacement de l'authentification simple compromise par l'attaque.

L'action en Bourse de Cegedim a chuté de 9 % le jour de la révélation publique. La société a déclaré être « particulièrement attachée à la souveraineté et à la sécurité des données » et « regretter profondément cette situation ».

Ce que la fuite révèle sur la santé numérique en France

Le cas Cegedim n'est pas un accident isolé. L'ANSSI a publié le 11 mars 2026 son Panorama de la cybermenace 2025 qui dresse un constat clair : la santé est le troisième secteur le plus ciblé par les cyberattaques en France, avec 10 % des incidents gérés par l'agence nationale.

Quatre secteurs concentrent à eux seuls 76 % des incidents : éducation et recherche (34 %), ministères et collectivités territoriales (24 %), santé (10 %), télécommunications (9 %). L'ANSSI a recensé 128 attaques par rançongiciel et 196 cas d'exfiltration de données en 2025.

Avant Cegedim, la France avait connu plusieurs fuites majeures dans le secteur santé. La fuite Dedalus Biologie, révélée en février 2021, avait exposé environ 500 000 dossiers de laboratoire (logiciel Mega Bus, données de 2015 à 2020) et valu une amende CNIL de 1,5 million d'euros en avril 2022. La même année, l'AP-HP avait subi le vol de 1,4 million de dossiers de tests Covid de résidents d'Île-de-France réalisés mi-2020. Le secteur de la santé publique française, déjà sous pression budgétaire, est structurellement exposé.

La Cour des comptes, dans un rapport de janvier 2025, a chiffré l'écart : l'investissement numérique des hôpitaux français reste limité à 1,7 % de leur budget de fonctionnement, contre environ 9 % dans le secteur bancaire. Le ratio est resté stable malgré les annonces successives. La santé numérique française avance vite en services proposés aux patients (DMP, doctolib, ordonnance numérique), mais reste fragile en sécurité.

Une donnée de santé n'est pas un mot de passe. Une fois dans la nature, elle y reste.

À retenir

  • Entre 11 et 15 millions de patients concernés par la fuite Cegedim, dont 164 000 avec des données sensibles dans le champ « commentaire libre » du logiciel MLM.
  • Révélation France 2 le 26 février 2026, quatre mois après la détection initiale fin octobre 2025. Aucune notification individuelle des patients au 1er mai 2026.
  • Cegedim Santé a déjà été sanctionné de 800 000 € par la CNIL le 5 septembre 2024, sanction confirmée par le Conseil d'État le 13 février 2026.
  • Recours RGPD : droit d'accès (article 15), droit à l'effacement (article 17), droit à réparation (article 82). Plainte CNIL gratuite et en ligne.
  • ANSSI Panorama 2025 : la santé est le 3e secteur le plus ciblé en France (10 % des incidents) après éducation/recherche (34 %) et ministères/collectivités (24 %).

À lire aussi

Sources : CNIL — Sanction 800 000 € Cegedim Santé (5 septembre 2024) · Conseil d'État — Décision du 13 février 2026 (n° 498628) · France Info — Enquête France TV 26 février 2026 · Caducée — État acte 164 000 personnes · Egora — Cegedim convoqué à Bercy · ANSSI — Panorama de la cybermenace 2025 (11 mars 2026) · Banque des Territoires — Rapport Cour des comptes janvier 2025 · Cybermalveillance.gouv.fr

L'essentiel

  • Entre 11 et 15 millions de patients exposés, 164 000 dossiers avec données sensibles selon le ministère de la Santé
  • Origine : champ « commentaire libre » du logiciel MonLogicielMédical (MLM) édité par Cegedim Santé
  • 1 500 cabinets médicaux compromis sur 3 800 utilisateurs du logiciel — révélation France 2 le 26 février 2026
  • Cegedim déjà sanctionné de 800 000 € par la CNIL le 5 septembre 2024, confirmé par le Conseil d'État le 13 février 2026
  • RGPD : droit d'accès (article 15), droit à l'effacement (article 17), droit à réparation (article 82)

Questions fréquentes

Comment savoir si vos données médicales ont fuité dans l'affaire Cegedim ?
Contactez votre médecin traitant et demandez-lui s'il utilise le logiciel MonLogicielMédical (MLM) de Cegedim Santé. Sur 3 800 cabinets équipés, 1 500 ont été compromis dans la cyberattaque. Vous pouvez aussi vérifier votre adresse email sur haveibeenpwned.com. Si vous êtes concerné, exercez votre droit d'accès (article 15 RGPD) auprès de Cegedim pour connaître le détail exact des données exposées. Cegedim a un mois pour répondre.
Quelles données ont fuité exactement ?
Les données administratives d'entre 11 et 15 millions de patients (nom, prénom, date de naissance, téléphone, adresse, email) et le champ « commentaire libre » du dossier administratif pour environ 164 000 d'entre eux. Ce champ contenait, selon les médecins concernés, des informations cliniques sensibles : pathologies, traitements, statut VIH, addictions, orientation sexuelle, violences subies, état psychologique. Les dossiers médicaux structurés (prescriptions, comptes rendus, analyses) n'ont pas été compromis.
Quels sont mes recours juridiques après cette fuite ?
Trois recours principaux fondés sur le RGPD. Article 15 : droit d'accès, demander à Cegedim le détail des données vous concernant. Article 17 : droit à l'effacement, exiger la suppression de vos données. Article 82 : droit à réparation, réclamer un dédommagement (la jurisprudence européenne accorde 500 à 3 000 euros pour fuites standards, davantage pour données sensibles). Vous pouvez aussi déposer plainte gratuitement sur le site de la CNIL en quelques minutes.
Une action de groupe est-elle prévue contre Cegedim ?
Aucune action de groupe n'a été officiellement lancée au 1er mai 2026. Le cadre juridique français permet ce type d'action depuis la loi de modernisation de la justice du XXIe siècle (2016) pour les violations RGPD. Plusieurs cabinets d'avocats spécialisés en droit du numérique l'envisagent, mais aucune annonce publique. À défaut, les recours individuels (plainte CNIL, recours au tribunal civil pour réparation au titre de l'article 82) restent ouverts à chaque patient concerné.
Cegedim a-t-il déjà été sanctionné par la CNIL ?
Oui. Le 5 septembre 2024, la CNIL a infligé à Cegedim Santé une amende de 800 000 euros pour traitement illicite de données de santé. À la suite de contrôles menés en 2021, l'autorité a établi que la société collectait sans autorisation des informations médicales (allergies, antécédents, prescriptions, diagnostics) reliées à des identifiants patients non anonymisés, pour produire des études statistiques vendues à ses clients. Le Conseil d'État a confirmé cette sanction le 13 février 2026, deux semaines avant la révélation publique de la fuite MLM.
Que faire si je reçois un appel ou un email suspect citant des données médicales ?
Ne donnez aucune information complémentaire et ne suivez aucun lien. Notez l'heure, le numéro ou l'adresse email de l'expéditeur, puis signalez le contact sur Cybermalveillance.gouv.fr, plateforme officielle d'assistance aux victimes. Si l'arnaque a abouti à une transaction financière ou un vol d'identité, déposez plainte au commissariat ou à la gendarmerie. La CNIL peut être saisie en parallèle pour la dimension protection des données.

Partagez cet article

Sur le même sujet

Plus d'actualités Santé

Voir tout
Boîtes d'Ozempic 1 mg, Wegovy 0,25 mg FlexTouch et Mounjaro KwikPen 5 mg tenues en pharmacie
Santé

Wegovy, Ozempic :
qui peut se permettre l'injection ?

La HAS a donné son feu vert au remboursement du Wegovy le 20 février 2026, mais les négociations de prix avec le CEPS traînent. En attendant, les 10 millions de Français obèses payent jusqu'à 370 € par mois ou renoncent au traitement. Décryptage.

Boîtes d'antidépresseurs Sertraline Venlafaxine Quétiapine posées sur le comptoir d'une pharmacie française
Santé

Santé mentale des jeunes :
936 000 sous psychotropes en France

936 000 jeunes de 12 à 25 ans remboursés d'un psychotrope en 2023, soit +18 % en quatre ans. Antidépresseurs en hausse de 60 %, prévalence de la dépression presque doublée chez les 18-24 ans depuis 2017.

À ne pas manquer

Site Géosel-Manosque vu d'avion, pipelines de stockage de pétrole en surface (Alpes-de-Haute-Provence)
Monde

Pétrole :
combien de jours la France peut tenir sur ses réserves ?

La France stocke environ 17 millions de tonnes de produits pétroliers sur 81 sites — 108 jours d'importations nettes selon Bercy. Géosel Manosque concentre 42 % du total. SAGESS gère 75 %. Système conçu après 1973, mobilisé en 2026.

Mine de cuivre KGHM à Polkowice-Sieroszowice en Basse-Silésie polonaise, exploitation à 1000 mètres de profondeur
Économie

Cuivre :
710 000 tonnes par an sous la Pologne, la moitié du métal européen

À 1 000 mètres sous la Basse-Silésie polonaise, KGHM produit 710 000 tonnes de cuivre par an et fournit jusqu'à la moitié du métal consommé en Europe. Le cuivre a bondi de +43 % en 2025 et touché 14 527 $/t le 29 janvier 2026. Voici pourquoi ce métal est devenu le pétrole du XXIe siècle.

Pancarte Aveu negocié Vérité sacrifiée lors de la manifestation des avocats contre la loi Darmanin sur le plaider-coupable criminel, Paris, 13 avril 2026
Politique

Plaider coupable au criminel :
la réforme qui divise la France

Darmanin veut permettre de plaider coupable pour les meurtres et viols. Aux États-Unis, 97 % des condamnations passent par ce système — mais des innocents plaident coupable. En France, 80 000 avocats se mobilisent contre.

Réservistes de l'armée française lors d'un exercice sur le terrain avec chien militaire
France

Réserve opérationnelle :
la voie d'entrée pour servir la France

48 595 Français portent l'uniforme à temps partiel fin 2025, contre 44 344 un an plus tôt. Conditions, solde, droits face à l'employeur, démarche : le guide pour rejoindre la réserve opérationnelle en 2026.

Newsletter Regards Actuels

L'essentiel, en profondeur. Chaque vendredi.

Gratuit · Désabonnement en un clic