Une cyberattaque d'ampleur nationale expose les données de 15 millions de patients français
Le ministère de la Santé a révélé ce vendredi 27 février 2026 une fuite de données massive concernant près de 15 millions de Français, suite à une cyberattaque survenue fin 2025. Cette attaque ciblait spécifiquement 1 500 médecins utilisateurs du logiciel MLM développé par la société Cegedim Santé, un acteur majeur du secteur médical français.
L'étendue des données compromises : des informations administratives aux annotations sensibles
Selon les déclarations officielles, la majorité des données exposées relèvent de l'administration des patients : noms, prénoms, coordonnées téléphoniques, adresses postales et dates de naissance. Cependant, pour 169 000 patients, soit environ 1% des cas, des annotations libres rédigées par les médecins ont également été consultées illégalement.
Ces annotations personnelles peuvent contenir des informations potentiellement sensibles concernant la santé ou la vie privée des patients, bien que le ministère affirme qu'aucun dossier médical structuré, ordonnance ou résultat d'examen n'aurait été diffusé.
Une attaque revendiquée par un hacker non identifié
L'attaque, qui remonte à la fin de l'année 2025, a été récemment revendiquée par un hacker dont l'identité et la nationalité restent inconnues. France 2 a révélé que certaines données « très précises » issues de cette fuite seraient désormais en libre accès sur internet, incluant potentiellement des informations sur des personnalités politiques.
Le ministère de la Santé reconnaît ne pas disposer d'une « visibilité exhaustive sur l'étendue des données administratives » effectivement diffusées, créant une incertitude importante quant aux conséquences réelles de cette violation.
La responsabilité pointée du doigt : Cegedim Santé déjà condamnée en 2024
Le ministère a immédiatement exigé de Cegedim Santé la mise en œuvre de « mesures correctives » urgentes, tout en soulignant que la faille de sécurité relevait exclusivement de ce « prestataire privé, responsable du traitement des données ». L'entreprise a déposé plainte et affirme avoir circonscrit l'incident.
Cette cyberattaque survient dans un contexte particulier : en septembre 2024, la Commission nationale de l'informatique et des libertés (Cnil) avait déjà infligé à Cegedim Santé une amende de 800 000 euros pour des manquements graves dans le traitement des données de santé.
Des conséquences potentiellement irrémédiables pour les patients
Les experts en cybersécurité alertent sur la gravité exceptionnelle de cette fuite, qui pourrait constituer « la plus grosse en France » dans le secteur de la santé. Gérôme Billois, expert chez Wavestone, souligne que « une information de santé une fois qu'elle est sortie, vous ne pourrez plus jamais revenir en arrière ».
Nicolas Arpagian, directeur de la stratégie chez Jizô AI, rappelle quant à lui que les données de santé « bénéficient d'un régime de protection juridique plus élevé » en raison de leur dimension émotionnelle forte et de leur lien avec l'intimité des individus.
Un sous-investissement chronique en cybersécurité dans la santé
Cette cyberattaque massive met en lumière ce que les experts décrivent comme un « sous-investissement en cybersécurité depuis des années » dans le secteur de la santé français. Alors que les données médicales représentent une cible de choix pour les cybercriminels, les moyens de protection semblent insuffisants face à des attaques de plus en plus sophistiquées.
Le ministère précise que la conservation d'annotations concernant « le quotidien et l'intimité des patients » par les médecins ne constitue pas en soi une violation du règlement général sur la protection des données (RGPD). Cependant, la sécurité de ces informations sensibles reste entièrement dépendante des systèmes informatiques des prestataires privés.
Cette affaire soulève des questions cruciales sur la protection des données de santé en France et la responsabilité des acteurs privés dans la sécurisation des informations médicales des citoyens.
