Un champ texte libre dans un logiciel médical. Une zone où les médecins notaient, en quelques mots, ce que le dossier structuré ne prévoyait pas : un statut sérologique, une addiction, des violences subies, un état psychologique, une orientation sexuelle mentionnée par un proche. Ce champ, présent dans le logiciel MonLogicielMédical (MLM) édité par Cegedim Santé, a fuité sur le dark web pour 164 000 patients. Et les données administratives — noms, dates de naissance, adresses, téléphones — de 15 millions de Français avec.
Un mois après la révélation par France 2 le 26 février 2026, les patients n'ont toujours pas été individuellement informés. Aucune compensation n'a été annoncée. La CNIL enquête. Et la question reste entière : que risquez-vous, et que pouvez-vous faire ?
Ce qui a fuité
| Type de données | Nombre de patients | Contenu |
|---|---|---|
| Données administratives | ~15 millions | Nom, prénom, date de naissance, téléphone, adresse, email |
| Données sensibles | ~164 000 | Pathologies, traitements, statut VIH, addictions, orientation sexuelle, violences subies, état psychologique |
Cegedim précise que les dossiers médicaux structurés — prescriptions, analyses, consultations — n'ont pas été compromis. Seul le champ « commentaire administratif libre » est touché. Mais la frontière entre administratif et médical était inexistante dans la pratique : les médecins y inscrivaient des informations cliniques sensibles. Les données ont été mises en vente sur des forums du dark web après l'échec d'une tentative d'extorsion contre Cegedim.
Quatre mois de silence
La chronologie est accablante. Fin octobre 2025, Cegedim détecte un « comportement anormal de requêtes applicatives » sur les comptes de médecins utilisant MLM. Le 27 octobre, l'entreprise dépose plainte auprès du parquet de Paris et notifie la CNIL. Mais ce n'est que le 19 janvier 2026 — trois mois plus tard — qu'un email est envoyé aux 1 500 médecins touchés. Et ce n'est que le 26 février, quatre mois après la détection, que le public apprend l'existence de la fuite, grâce à l'enquête de France Télévisions.
Un médecin généraliste témoigne sur Medscape : « On n'a pas eu de vrai accompagnement. À peine un email, qui n'indiquait même pas les noms des médecins à qui il était adressé. Il n'est pas normal que le médecin ait la responsabilité de contacter les patients pour les informer. » La ministre de la Santé, Stéphanie Rist, a elle-même déclaré n'avoir appris la fuite que le 26 février — « la veille au soir » de son annonce publique.
Le RGPD impose de notifier les personnes concernées « dans les meilleurs délais » quand la violation présente un risque élevé pour leurs droits et libertés. Quatre mois, pour des données incluant le statut VIH et des violences sexuelles, pose un problème de conformité évident.
Ce que des criminels peuvent faire de vos données médicales
Les données administratives (nom, téléphone, email, adresse) alimentent le phishing ciblé et l'usurpation d'identité. Les données sensibles ouvrent des possibilités bien plus graves.
Chantage. Un statut sérologique, une addiction, une orientation sexuelle non rendue publique : autant de leviers d'extorsion. La menace de révélation suffit. Les données sont sur le dark web — accessibles à quiconque les cherche.
Discrimination. Un employeur, un assureur, un bailleur qui croiserait ces données avec un nom et une date de naissance pourrait discriminer sans que la victime le sache. La loi l'interdit. La pratique existe.
Exploitation psychologique. Des informations sur des violences subies ou un état psychiatrique permettent de cibler des personnes vulnérables — pour des arnaques sentimentales, du harcèlement, ou du social engineering sophistiqué.
L'expert en cybersécurité Jérôme Billois (Wavestone) qualifie la fuite de « très grave » avec des « conséquences irréversibles ». Les données médicales, contrairement à un mot de passe, ne se changent pas.
Comment savoir si vous êtes concerné — et que faire
La première étape est de contacter votre médecin traitant et de lui demander s'il utilisait le logiciel MLM de Cegedim. Sur 3 800 cabinets équipés, 1 500 ont été compromis. Si votre médecin est concerné, demandez-lui ce que contenait le champ texte libre de votre dossier.
Ensuite, plusieurs actions concrètes :
Vérifier. Consultez haveibeenpwned.com avec l'adresse email associée à votre cabinet médical.
Se protéger. Changez les mots de passe de vos comptes liés à cette adresse email. Activez l'authentification à deux facteurs sur votre banque, votre messagerie, votre Ameli. Soyez vigilant face à tout email ou appel inattendu citant des informations médicales.
Signaler. Tout contact suspect lié à vos données médicales peut être signalé sur Cybermalveillance.gouv.fr.
Agir. Vous pouvez déposer plainte auprès de la CNIL et exercer votre droit d'accès (article 15 du RGPD) en demandant à Cegedim le détail exact des données exposées vous concernant. Le droit à l'effacement (article 17) est également mobilisable.
En matière d'indemnisation, l'article 82 du RGPD prévoit un droit à réparation. La jurisprudence européenne accorde entre 500 et 3 000 euros pour des données standards. Pour les 164 000 patients dont les données sensibles ont fuité, les montants pourraient être supérieurs. Une action de groupe est juridiquement possible mais aucune n'a été lancée à ce stade.
Cegedim, récidiviste
Ce n'est pas la première fois que Cegedim Santé est épinglée sur la gestion des données de ses patients. En septembre 2024, la CNIL lui a infligé une amende de 800 000 euros pour traitement illicite de données de santé. L'entreprise collectait sans autorisation des informations médicales — allergies, antécédents, prescriptions, diagnostics — reliées à des identifiants patients non anonymisés, pour produire des études statistiques vendues à des clients. Le Conseil d'État a confirmé cette sanction le 13 février 2026, deux semaines avant la révélation de la fuite.
Cegedim a déclaré être « particulièrement attaché à la souveraineté et à la sécurité des données » et « regretter profondément cette situation ». L'action en Bourse a chuté de 9 % le jour de la révélation. Le 5 mars, l'entreprise a été convoquée à Bercy par les ministres Stéphanie Rist (Santé) et Anne Le Hénanff (Numérique), qui ont exigé l'accélération de la mise en conformité avec la directive européenne NIS2 et le renforcement immédiat de l'authentification multi-facteurs.
Ce que la fuite révèle sur la santé numérique en France
Le cas Cegedim n'est pas un accident isolé. Selon le Panorama de la cybermenace 2025 de l'ANSSI, la santé est le troisième secteur le plus ciblé par les cyberattaques en France — 10 % des incidents gérés par l'agence nationale. Avant Cegedim, la fuite Dedalus Biologie avait exposé 500 000 dossiers de laboratoire en 2021. L'AP-HP avait subi un vol de 1,4 million de dossiers de tests Covid la même année.
La Cour des comptes, dans un rapport de janvier 2025, pointait un investissement numérique des hôpitaux français limité à 1,7 % de leur budget de fonctionnement — contre 9 % dans le secteur bancaire. L'écart est structurel. La santé numérique française avance vite en services, mais reste fragile en sécurité. Les données de santé ne se changent pas comme un mot de passe. Une fois dans la nature, elles y restent.
