Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-de-santéCNILsanté

Cegedim Santé : 15 millions de dossiers patients dans la nature, anatomie d'une catastrophe

Fin 2025, une cyberattaque contre le logiciel MLM de Cegedim Santé a exposé les données de 15 millions de patients français, dont 164 000 dossiers contenant des informations sensibles. Chronologie, responsabilités, conséquences concrètes et leçons à tirer.

Thomas Ferreira17 min de lecture

Le 26 février 2026, au journal de 20 heures de France 2, les Français découvrent l'ampleur d'un désastre qui couvait depuis trois mois. Le logiciel MonLogicielMédical (MLM), édité par Cegedim Santé et utilisé par des milliers de médecins généralistes, a été compromis. Des données personnelles de 15 millions de patients sont apparues sur le dark web. Parmi elles, 164 000 dossiers contenant des informations sensibles - des annotations de médecins qui n'auraient jamais dû sortir du cabinet.

Le lendemain, la ministre déléguée à la Santé Stéphanie Rist confirme les chiffres sur X. Cegedim chute de 9 % en Bourse. Le parquet de Paris ouvre une enquête. L'ANSSI, la CNIL et le ministère de la Santé se coordonnent dans ce qui devient la plus importante fuite de données de santé jamais documentée en France.

Retour sur une affaire dont les conséquences sont irréversibles pour des millions de Français.

La chronologie des faits

Fin 2025 : détection en silence

Cegedim détecte un « comportement anormal de requêtes applicatives » sur des comptes de médecins utilisateurs de MLM. L'éditeur identifie une exfiltration de données en cours. À ce stade, aucune communication publique n'est faite.

MLM est un logiciel de gestion de cabinet médical utilisé par environ 3 800 médecins généralistes en France. Il gère les dossiers patients, la facturation, les ordonnances et la correspondance administrative. C'est un outil du quotidien, installé dans des milliers de cabinets médicaux sur tout le territoire.

L'attaquant a exploité des comptes de médecins pour accéder aux bases de données. La méthode exacte - credentials volés, phishing ciblé, faille applicative - n'a pas été rendue publique par Cegedim à ce jour.

Début janvier 2026 : notification discrète aux médecins

Cegedim contacte les 1 500 médecins directement concernés par l'attaque. Les praticiens sont invités à renforcer la sécurité de leurs accès. L'information reste cantonnée au circuit professionnel.

Le problème : les patients, eux, ne sont pas informés. Pendant deux mois, 15 millions de personnes dont les données circulent potentiellement sur le dark web n'en savent rien. Leurs médecins eux-mêmes ne mesurent pas nécessairement l'ampleur de ce qui a été exfiltré.

26 février 2026 : la bombe médiatique

France 2 révèle l'affaire dans son journal de 20 heures. Les chiffres sont vertigineux : 11 à 15 millions de dossiers patients, une base de données mise en vente sur un forum du dark web. Le Monde confirme avoir vérifié un échantillon des données diffusées.

Cegedim publie un communiqué de presse le même soir. L'entreprise reconnaît l'incident, mais tente de cadrer le récit : les « données administratives » des patients ont été touchées, mais les « dossiers médicaux structurés seraient restés intègres ».

27-28 février 2026 : la crise s'installe

L'emballement est immédiat. Le Parisien, TF1Info (avec AFP), Le HuffPost, Ouest-France, Sciences et Avenir, 20 Minutes : tous les grands médias couvrent l'affaire. Le parquet de Paris ouvre une enquête après la plainte déposée par Cegedim Santé.

Stéphanie Rist, ministre déléguée à la Santé, publie un message sur X le 28 février. Elle confirme qu'« environ 15 millions de personnes pourraient être concernées » et révèle un chiffre que Cegedim n'avait pas mis en avant : 164 000 dossiers incluraient des données sensibles.

La ministre précise que l'incident « relève d'un prestataire privé, responsable du traitement des données, et n'a pas de lien avec les systèmes de l'État ». Elle demande à l'entreprise de « rendre compte précisément des causes techniques, des mesures correctives et des garanties de non-récurrence ».

Le vrai problème : le « texte libre »

La distinction entre « données administratives » et « données médicales » que Cegedim tente de maintenir dans sa communication se heurte à une réalité de terrain que tout médecin connaît.

Dans un logiciel de gestion de cabinet, le dossier patient comporte deux types de champs :

  • Les champs structurés : nom, prénom, date de naissance, adresse, numéro de Sécurité sociale, coordonnées. Ces données sont organisées dans des cases prédéfinies.
  • Le champ « texte libre » : un espace de commentaire où le médecin peut écrire ce qu'il veut.

Ce champ texte libre, présenté par Cegedim comme un « commentaire administratif », est en pratique utilisé par de nombreux médecins pour noter des éléments de contexte qui ne rentrent pas dans les cases du dossier structuré. Des éléments qui relèvent directement de la sphère médicale ou intime.

On y retrouve, selon les échantillons vérifiés par les journalistes et les témoignages de praticiens :

  • Des diagnostics : « porteur VIH », « dépression sévère », « tentative de suicide en 2019 »
  • Des traitements en cours : « sous Subutex », « suivi psychiatrique »
  • Des éléments de vie privée : « en instance de divorce », « suspicion de violences conjugales »
  • Des informations sur l'orientation sexuelle
  • Des annotations sur la situation sociale : « bénéficiaire CMU », « sans domicile fixe »

Gérôme Billois, expert en cybersécurité au cabinet Wavestone, qualifie cette fuite de « très grave » et potentiellement « la plus grosse en France » dans le secteur de la santé. Il souligne que les conséquences sont « irrémédiables » : contrairement à un numéro de carte bancaire, un diagnostic médical ou une orientation sexuelle ne se changent pas.

15 millions, 164 000, 17 000 : la guerre des chiffres

L'affaire Cegedim a engendré une confusion sur les chiffres qui mérite d'être démêlée.

15 millions : c'est le nombre total de personnes dont les données administratives (nom, adresse, téléphone, email, numéro de Sécurité sociale) ont été exposées. Ce chiffre, confirmé par la ministre de la Santé et repris par l'ensemble de la presse, correspond à l'intégralité de la base de patients des 1 500 médecins touchés.

164 000 : c'est le nombre de personnes dont les données « sensibles » - au sens du texte libre contenant des annotations médicales ou intimes - ont été exposées. C'est le chiffre communiqué par Stéphanie Rist le 28 février.

17 000 : c'est un chiffre relayé par TF1Info et l'AFP, qui correspondrait aux patients dont les informations sensibles auraient été effectivement « diffusées » - c'est-à-dire publiées ou mises en vente sur le dark web, par opposition aux données simplement « exfiltrées » mais pas encore rendues publiques.

L'écart entre 17 000 et 164 000 reflète des définitions différentes : présence d'un champ libre renseigné, présence effective d'éléments sensibles dans ce champ, ou diffusion constatée sur un forum. Tant que la méthodologie n'est pas explicitée, les chiffres restent difficiles à comparer.

Ce qui est certain : quelle que soit la tranche retenue, les données sont entre les mains des attaquants. La distinction entre « exfiltré » et « diffusé » est une question de calendrier, pas de sécurité.

Une gestion de crise critiquée

Trois mois de silence

La chronologie pose un problème majeur. Cegedim a détecté l'incident « fin 2025 », a contacté les médecins « début janvier 2026 », et le public n'a été informé que le 26 février 2026 - par les médias, pas par l'entreprise.

Le RGPD est pourtant explicite. L'article 33 impose une notification à la CNIL « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». L'article 34 impose l'information des personnes concernées « dans les meilleurs délais » lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés. Une fuite de données de santé de 15 millions de personnes entre assez clairement dans cette catégorie.

Stéphanie Rist a noté que « les chiffres ont pu varier au fil des investigations » et que la déclaration CNIL est « mise à jour » en fonction de ces investigations. Cette formulation laisse entendre que la notification a été progressive, mais ne dissipe pas la question du délai d'information du public.

L'information défaillante des patients

France Assos Santé, la fédération française des associations de patients, a publiquement critiqué le défaut d'information individuelle des patients. L'organisation souligne que les médecins touchés sont co-responsables du traitement des données et doivent informer leurs patients. Or, beaucoup de praticiens n'ont eux-mêmes pris la mesure de la fuite qu'en regardant le journal de 20 heures.

Un médecin généraliste a témoigné sur Medscape France le 4 mars 2026 : il décrit avoir été averti par Cegedim « de manière lapidaire » en janvier, sans comprendre l'ampleur réelle du problème. Ce n'est qu'en voyant le reportage de France 2 qu'il a réalisé que ses patients étaient potentiellement concernés par une fuite massive. Il se retrouvait dans l'obligation d'appeler ses patients un par un, sans savoir précisément lesquels étaient touchés ni ce qui avait fuité de chaque dossier.

Un casier déjà chargé

L'affaire Cegedim ne surgit pas dans un vide réputationnel. En septembre 2024, la CNIL avait déjà infligé à l'entreprise une amende de 800 000 euros pour traitement illégal de données de santé. Le reproche : Cegedim utilisait des données issues de ses logiciels médicaux pour produire des études statistiques destinées à l'industrie pharmaceutique, sans l'autorisation préalable requise.

Cette sanction n'a aucun lien direct avec la cyberattaque de 2025-2026. Mais elle dessine un motif récurrent : un éditeur qui manipule quotidiennement les données les plus intimes des Français et dont le rapport à la protection de ces données interroge.

L'Usine Digitale rapporte que Cegedim a été enjoint, dans la foulée de la fuite, d'accélérer sa mise en conformité avec la directive européenne NIS 2 et le Cyber Resilience Act, notamment par « la généralisation de l'authentification multi-facteurs ». Ce qui laisse entendre que l'authentification à deux facteurs n'était pas systématiquement déployée au moment de l'attaque - un manquement difficilement justifiable pour un éditeur de logiciels de santé en 2025.

Le contexte : une série noire dans la santé française

L'affaire Cegedim ne frappe pas un secteur en bonne santé cyber. Elle arrive après une série d'incidents qui dessinent un tableau systémique.

Novembre 2025 - Weda : La plateforme de dossiers médicaux Weda, utilisée par 23 000 soignants, est compromise. Des données de patients de maisons de santé pluriprofessionnelles et de cliniques sont exfiltrées, incluant des informations de santé.

Novembre 2025 - Itelis : La plateforme de gestion de tiers payant optique est piratée. Cinq millions de dossiers patients sont exposés, incluant les numéros de Sécurité sociale et des fichiers de remboursement. AG2R La Mondiale, Malakoff Humanis et d'autres mutuelles sont impactées.

Décembre 2025 - MédecinDirect : La plateforme de téléconsultation signale une fuite de données touchant jusqu'à 323 069 patients. Les informations exposées incluent les sujets de téléconsultation et les échanges avec les praticiens.

Mars 2026 - Cerballiance : Les laboratoires d'analyses médicales du groupe Cerballiance sont touchés. Les données exfiltrées incluent des identifiants de connexion, des mots de passe chiffrés, des rapports médicaux et des numéros de Sécurité sociale.

À chaque incident, le même schéma se répète : détection tardive, communication minimale, patients dans le flou, données déjà en circulation. L'écosystème de santé numérique français accumule les vulnérabilités sans les corriger à la vitesse à laquelle elles sont exploitées.

Les conséquences concrètes pour les patients

La fuite Cegedim n'est pas un événement abstrait. Ses conséquences se mesurent dans la vie quotidienne de millions de personnes.

Risques de phishing ciblé

Avec un nom, une adresse, un numéro de téléphone et le nom de leur médecin, les attaquants disposent de tout le nécessaire pour monter des campagnes de phishing d'une crédibilité redoutable. Un SMS qui semble provenir de votre cabinet médical, un email de la « CPAM » concernant un remboursement, un appel de votre « mutuelle » pour vérifier vos coordonnées bancaires : ces scénarios ne sont pas hypothétiques. Ils sont la conséquence directe et prévisible de cette fuite.

Usurpation d'identité

Le numéro de Sécurité sociale, combiné aux données d'état civil, ouvre la porte à l'usurpation d'identité. Faux remboursements de soins sur Ameli, ouverture de droits à des prestations sociales, créations de comptes frauduleux : le spectre est large et les victimes mettent souvent des mois à s'en rendre compte.

Chantage et stigmatisation

Pour les 164 000 personnes dont les données sensibles ont été exposées, le risque est d'un autre ordre. Un diagnostic de VIH, un suivi psychiatrique, une addiction, une orientation sexuelle : ces informations, entre de mauvaises mains, sont un levier de chantage ou de discrimination. Dans le contexte professionnel, familial ou social, la simple divulgation de ces éléments peut bouleverser une vie.

L'impossibilité de « changer » ses données

C'est la différence fondamentale avec une fuite de données bancaires. Quand votre carte est compromise, vous la faites opposition et la banque en émet une nouvelle. Quand votre numéro de Sécurité sociale et votre historique médical sont dans la nature, il n'existe aucun mécanisme de remplacement. Ces données vous suivent à vie.

Ce que vous pouvez faire

Si vous consultez un médecin généraliste en France, voici les actions concrètes à entreprendre.

Vérifiez le logiciel de votre médecin. Demandez à votre cabinet médical s'il utilise MonLogicielMédical (MLM) de Cegedim Santé. Si c'est le cas, demandez si votre médecin fait partie des 1 500 praticiens concernés.

Surveillez vos relevés Ameli. Connectez-vous régulièrement sur ameli.fr et vérifiez vos relevés de prestations. Toute consultation, tout acte ou tout remboursement que vous ne reconnaissez pas doit être signalé immédiatement.

Méfiez-vous des sollicitations. Soyez particulièrement vigilant face aux emails, SMS et appels téléphoniques prétendant provenir de votre médecin, de la CPAM, de votre mutuelle ou d'un laboratoire. Les attaquants qui détiennent vos données personnelles peuvent fabriquer des messages extrêmement convaincants.

Déposez plainte si nécessaire. Si vous constatez une utilisation frauduleuse de vos données, déposez une plainte en ligne et signalez la situation sur cybermalveillance.gouv.fr.

Exercez vos droits. Le RGPD vous donne le droit de demander à votre médecin et à Cegedim une copie des données personnelles vous concernant, de savoir si elles ont été compromises, et d'exiger des mesures correctives. France Assos Santé a publié un guide pour accompagner les patients dans ces démarches.

Les responsabilités : qui doit rendre des comptes ?

L'affaire Cegedim soulève une question juridique qui dépasse le simple cadre de la cybersécurité : dans la chaîne de traitement des données de santé, qui porte la responsabilité ?

Cegedim Santé, en tant qu'éditeur du logiciel et hébergeur des données, est le premier dans la ligne de mire. Le défaut d'authentification multi-facteurs, le délai de communication, et l'antécédent de la sanction CNIL de 2024 constituent autant d'éléments qui pourront être retenus dans le cadre de l'enquête pénale et d'éventuelles procédures devant la CNIL.

Les médecins utilisateurs sont co-responsables du traitement au sens du RGPD. Ils ont l'obligation d'informer individuellement leurs patients de la violation de données. Le fait qu'ils aient eux-mêmes été insuffisamment informés par Cegedim ne les exonère pas de cette obligation, même si cela pose la question des moyens à leur disposition.

Les autorités de tutelle - CNIL, ANSSI, ministère de la Santé - sont désormais mobilisées. La CNIL, qui dispose du pouvoir de sanctionner des manquements au RGPD avec des amendes allant jusqu'à 4 % du chiffre d'affaires mondial, n'a pas encore communiqué sur d'éventuelles suites. Mais le précédent de l'amende de 800 000 euros laisse penser que la commission sera attentive.

Ce que cette affaire révèle

Au-delà du cas Cegedim, cette fuite met en lumière une faiblesse structurelle de l'écosystème de santé numérique français. La médecine de ville repose sur une poignée d'éditeurs privés - Cegedim, CompuGroup Medical (Hellodoc, AxiSanté), Weda - qui hébergent les données les plus intimes de dizaines de millions de Français. Ces éditeurs ne sont pas soumis aux mêmes exigences de cybersécurité que les hôpitaux publics, qui bénéficient du programme CaRE et de la supervision de l'ANSSI.

La directive NIS 2, transposée en droit français, devrait élargir le périmètre des obligations de cybersécurité à ces éditeurs de logiciels de santé. Le Cyber Resilience Act européen impose de nouvelles exigences aux produits numériques. Mais en attendant que ces textes produisent leurs effets, le constat est brutal : la donnée de santé de 15 millions de Français était protégée par un logiciel dont l'éditeur n'avait même pas généralisé l'authentification à deux facteurs.

L'affaire Cegedim n'est pas un accident isolé. C'est le symptôme d'un système de santé numérique qui a numérisé ses données sans sécuriser ses outils, qui a délégué la protection des informations les plus sensibles des citoyens à des prestataires privés sans vérifier qu'ils disposaient des moyens de les protéger.

Quinze millions de patients en font aujourd'hui les frais. Pour 164 000 d'entre eux, les conséquences pourraient être irréversibles.

Sources :

  • Cegedim, communiqué de presse du 26 février 2026 : cegedim.fr
  • TF1Info (AFP), « Cyberattaque visant des médecins : les données administratives de 15 millions de Français ont fuité », 27 février 2026 : tf1info.fr
  • Le Parisien, « Fuite massive de données médicales : 5 minutes pour comprendre l'affaire Cegedim Santé », 27 février 2026 : leparisien.fr
  • Le Monde, « Cegedim : des données personnelles volées à la suite du piratage d'un logiciel pour médecins », 27 février 2026 : lemonde.fr
  • Caducee.net, « Cegedim : l'État acte l'ampleur de la fuite et précise le risque données sensibles pour 164 000 personnes », 28 février 2026 : caducee.net
  • Stéphanie Rist, publication sur X, 28 février 2026 : x.com/stephanie_rist
  • Franceinfo, « Ce que l'on sait de la cyberattaque qui a ciblé un logiciel médical », 27 février 2026 : franceinfo.fr
  • L'Usine Digitale, « Comment la cyberattaque chez Cegedim Santé interroge la gouvernance des données médicales », 9 mars 2026 : usine-digitale.fr

Articles similaires

Données de santé : pourquoi c'est la cible n°1 des hackers en France

Un dossier médical vaut jusqu'à 1 000 $ sur le dark web, contre 5 $ pour une carte bancaire. Analyse complète des cyberattaques contre le secteur santé en France : Viamedis, AP-HP, CHSF Corbeil-Essonnes, réglementation HDS, programme CaRE et mesures concrètes de protection.

Les 50 plus grandes fuites de données en France (2020-2026)

De France Travail (43M) à Viamedis (33M), recensement complet des 50 fuites de données les plus massives en France. Chronologie, chiffres, secteurs touchés et leçons à tirer pour votre entreprise.

Cyberattaques sur les hôpitaux français : un bilan alarmant (2019-2026)

Du CHU de Rouen au CH de Cannes, chronologie complète des cyberattaques contre les hôpitaux français. Coûts, conséquences sur les patients, rôle du phishing et réponse de l'État.