La sécurité des données médicales en France est mise à mal suite à une cyberattaque d'une ampleur sans précédent. Environ 15 millions de patients ont vu leurs informations personnelles compromises, ce qui soulève des questions cruciales sur la protection des données dans le secteur de la santé.
Une cyberattaque sans précédent
Fin 2025, une cyberattaque a ciblé le logiciel MonLogicielMedical (MLM), édité par Cegedim Santé, utilisé par environ 3 800 médecins libéraux en France. Cette attaque a conduit à la fuite de données personnelles de 15 millions de patients, confirmée par le ministère de la Santé. Les informations compromises incluent des données administratives telles que le nom, le prénom, le numéro de téléphone et l'adresse postale.
Le ministère a précisé qu'aucun hôpital ou établissement public n'est concerné, la faille touchant exclusivement un prestataire privé. Des personnalités politiques, des hauts fonctionnaires et des responsables de la sécurité nationale figurent parmi les patients concernés, selon des vérifications menées par France 2.
Des données sensibles exposées
La fuite a révélé que, bien que la majorité des victimes aient vu uniquement leurs informations administratives compromises, environ 169 000 personnes ont également vu des annotations libres rédigées par les médecins extraites. Ces notes peuvent contenir des mentions stigmatisantes ou intimes, telles que des diagnostics de maladies, des antécédents de santé ou des informations sur la vie personnelle des patients.
Le ministère et Cegedim ont insisté sur le fait qu'aucun dossier médical structuré n'a été touché, ce qui signifie que les ordonnances, résultats d'analyses et diagnostics détaillés n'ont pas été compromis. Cependant, la nature des données administratives exposées soulève des préoccupations quant à la vie privée des patients.
Les conséquences d'une telle fuite
Cette cyberattaque a mis en lumière les vulnérabilités des systèmes de santé en matière de sécurité des données. La ministre de la Santé, Stéphanie Rist, a exigé des explications détaillées sur les causes de l'incident et les mesures correctives prises pour éviter de futures fuites.
Cegedim Santé avait déjà été sanctionnée par la CNIL en 2024 pour des manquements graves au règlement sur les données de santé, ce qui soulève des questions sur la gestion de la sécurité des données par l'entreprise.
Une enquête en cours
Le parquet de Paris a ouvert une enquête pour atteintes à un système automatisé de données suite à la plainte déposée par Cegedim Santé. La Brigade de lutte contre la cybercriminalité est chargée de cette enquête, qui est considérée comme prioritaire en raison de la sensibilité des données personnelles en jeu.
Le pirate présumé a été identifié, affirmant n'avoir publié qu'une partie des données en sa possession et avoir tenté de prévenir Cegedim sans obtenir de réponse. À ce stade, le ministère n'a pas d'informations officielles sur son identité ou sa nationalité.
La sécurité des données de santé en question
Cette situation soulève des interrogations sur la sécurité des données numériques dans le secteur de la santé. Les professionnels de santé et les patients doivent être assurés que leurs informations personnelles sont protégées contre de telles cyberattaques.
Les autorités doivent renforcer les mesures de sécurité et sensibiliser les acteurs du secteur à l'importance de la protection des données. La confiance des patients dans le système de santé dépend de la capacité à garantir la sécurité de leurs informations personnelles.