Bis repetita. À ce stade ce n’est même plus surprenant. Voici encore une fois une nouvelle fuite de données, spécifique à la France, qui concernerait entre 11 et 15 millions de personnes ! Cette fois la source est médicale : les données proviennent du logiciel MonLogicielMedical.com, utilisé par 3 800 médecins dans l’Hexagone.

L’affaire a été dévoilée par France 2 qui a repéré la base de données en libre accès sur le dark Web. On y retrouve les informations personnelles habituelles dont le nom, la date de naissance, le numéro de téléphone, l’adresse postale et l’adresse e-mail. C’est déjà extrêmement grave en soi. Mais ces informations ayant déjà été volées à de nombreuses reprises, comme lors des piratages de Free ou de Bouygues, c’est presque devenu une routine. Heureusement, la base de données ne contient pas les dossiers médicaux des patients.

Des commentaires contenant des informations très personnelles

En revanche, ce qui est particulièrement inquiétant, c’est la présence d’un champ réservé aux commentaires des médecins. Ces commentaires comportent parfois des informations très personnelles, comme l’indication d’une maladie grave, des addictions, la sexualité ou la religion. Parmi les patients concernés se trouveraient des personnalités politiques de premier plan, candidats à la présidentielle, hauts responsables…

France 2 a contacté le hacker qui affirme être à l’origine de la fuite. Celui-ci indique avoir signalé les faits à Cegedim, qui n’a pas donné suite. Dans un communiqué publié à la suite du reportage, la firme nie avoir été contactée. Elle confirme le vol des données, mais précise que les informations sensibles contenues dans les commentaires administratifs ne concernent qu’un nombre très limité de patients.

Une nouvelle fuite de données médicales concernerait 15 millions de patients. © EB avec ChatGPT

Un certain flou sur le nombre total de personnes concernées

Cegedim affirme avoir identifié un accès anormal fin 2025 sur des comptes médecins utilisateurs du logiciel et que « toutes les mesures nécessaires ont été prises pour le traitement de cet incident qui a été circonscrit ». La société indique en avoir informé la Cnil, avoir déposé plainte, et avoir contacté tous les médecins concernés début janvier.

La base de données en accès libre aurait été retirée, mais serait toujours proposée à la vente sur le dark Web. France 2 indique qu’elle contiendrait entre 11 et 15 millions de personnes, et les journalistes ont contacté certains des patients pour vérifier les informations. Le hacker, lui, affirme qu’il s’agit d’un total de 19 millions de personnes, mais seulement 150 000 adresses e-mail uniques.

La Brigade de lutte contre la cybercriminalité saisie

Ce second chiffre n’est guère étonnant, les médecins ne collectant pas systématiquement les courriels des patients. Le ministère de la Santé avance le chiffre de 15 millions, et indique que seuls 169 000 des enregistrements contenaient un commentaire saisi par le médecin, soit 1 %. Il dévoile par ailleurs que Cegedim a porté plainte le 27 octobre 2025, après que « des salariés ont signalé avoir reçu des courriels d’extorsion revendiquant le piratage de plusieurs milliers de données personnelles ». Le parquet de Paris a saisi la Brigade de lutte contre la cybercriminalité.

Ce n’est pas la première fois que Cegedim est mise en cause dans une fuite de données. En septembre 2024, la firme a été condamnée à payer une amende de 800 000 euros pour avoir traité des données et les avoir transmises à des tiers pour des études statistiques. Le problème n’était pas tant la transmission en elle-même, mais le fait que les données n’étaient pas anonymisées, mais pseudonymisées. Autrement dit, il était possible de retrouver l’identité des patients. Les données pseudonymisées sont considérées comme des données personnelles et soumises au règlement général sur la protection des données (RGPD).