Un piratage majeur expose les données de patients français
Comme révélé par France 2 le jeudi 26 février, une importante fuite de données a touché le groupe Cegedim, spécialiste des logiciels pour professionnels de santé. Des informations personnelles concernant des patients français ont été dérobées, créant une inquiétude légitime quant à la protection de la vie privée. Cependant, l'ampleur exacte de cette cyberattaque reste entourée d'un certain flou, les estimations variant considérablement selon les sources.
Le logiciel médical MLM dans le viseur des pirates
La cible de cette attaque est le logiciel Mon logiciel médical (MLM), développé par Cegedim et utilisé par environ 3 800 clients en France, principalement des médecins. L'entreprise a déclaré avoir détecté, à la fin de l'année 2025, un comportement anormal sur cette plateforme. Elle a ensuite constaté que des données personnelles de patients du parc logiciel MLM avaient été consultées ou extraites illégalement.
Face à cette découverte, Cegedim a immédiatement pris des mesures correctives en sécurisant les accès, en déposant plainte et en signalant l'incident à la Commission nationale de l'informatique et des libertés (CNIL), l'autorité française de protection des données.
La nature des données volées : administratives mais parfois sensibles
Les informations dérobées sont principalement de nature administrative, permettant d'identifier quels patients sont suivis par quels médecins. Elles incluent une quantité importante de numéros de téléphone et d'adresses email de patients. Heureusement, les dossiers médicaux complets ne font pas partie de la fuite.
Cependant, France 2 a découvert dans ces données des informations très personnelles concernant certains patients, telles que :
- Leur orientation sexuelle (par exemple, le fait d'être homosexuel)
- Des situations familiales délicates (comme avoir un parent en prison)
- Des statuts médicaux sensibles (comme être atteint du sida)
Selon Cegedim, ces détails sensibles proviennent d'annotations personnelles du médecin et ne concernent qu'un nombre très limité de patients. Le Monde a confirmé qu'un échantillon des données, mis en ligne par un pirate, contenait des informations administratives sur près de 300 000 patients, avec seulement une infime partie incluant des données médicales ou privées.
Des estimations divergentes sur le nombre de victimes
Il est actuellement impossible de déterminer avec précision combien de personnes ont été affectées par cette fuite. Les chiffres avancés varient largement :
- Sur un forum de discussions où les données ont été proposées à la vente, le pirate affirme que le fichier contient les informations de 19 millions de patients, mais avec seulement 150 000 adresses email uniques.
- France 2 estime quant à elle que entre 11 et 15 millions de personnes pourraient être concernées.
- Cegedim, de son côté, indique que 1 500 médecins utilisant MLM sont touchés, ce qui suggère un nombre de patients bien inférieur aux estimations précédentes.
Cette disparité souligne la difficulté à évaluer l'étendue réelle du piratage et la nécessité d'une enquête approfondie pour protéger les droits des patients.
