Un incident de sécurité a été révélé jeudi 26 février par France 2, concernant le groupe Cegedim, éditeur de logiciels pour professionnels de santé. Selon nos confrères de Le Monde, des données de santé concernant des patients français ont été dérobées.

Cet incident implique un logiciel destiné aux médecins, Mon logiciel médical (MLM), utilisé par 3 800 clients en France, selon Cegedim. L’entreprise a identifié un comportement anormal sur ce logiciel à la fin de 2025 et a constaté que des données personnelles de patients du parc logiciel MLM avaient été consultées ou extraites illégalement.

Ce qu'il faut retenir

  • Des données administratives de patients ont été volées à la suite du piratage d’un logiciel pour médecins du groupe Cegedim.
  • Le logiciel concerné est Mon logiciel médical (MLM), utilisé par 3 800 clients en France.
  • Les données volées sont avant tout administratives et permettent de savoir qui est patient de quel médecin.
  • On y trouve une quantité importante de numéros de téléphone et d’adresses email de patients, mais les dossiers médicaux eux-mêmes n’y figurent pas.
  • Des informations très personnelles sur plusieurs patients, comme le fait qu’ils soient homosexuels, aient un parent en prison, ou encore qu’ils soient atteints du sida, ont également été trouvées.

Les faits

Les données volées sont principalement administratives et permettent de savoir qui est patient de quel médecin. On y trouve une quantité importante de numéros de téléphone et d’adresses email de patients, mais les dossiers médicaux eux-mêmes n’y figurent pas. Cependant, des informations très personnelles sur plusieurs patients, comme le fait qu’ils soient homosexuels, aient un parent en prison, ou encore qu’ils soient atteints du sida, ont également été trouvées.

Ces informations ont pu être inscrites, « pour un nombre très limité de patients », comme des « annotations personnelles du médecin concernant des informations sensibles ». Un échantillon des données, mis en ligne par l’un des pirates, contenait des données administratives sur près de 300 000 patients, mais seule une toute petite partie d’entre elles comportait des informations médicales ou privées.

Les conséquences

Il n’est pas possible, à l’heure où nous publions cet article, d’évaluer le nombre de personnes dont les données personnelles ont été dérobées. Sur le forum de discussions où lesdites données ont été proposées à la vente, le pirate affirme que le fichier contient celles de 19 millions de patients, mais seulement « 150 000 adresses email uniques », tandis que France 2 estime qu’« entre 11 [millions] et 15 millions de personnes » seraient concernées.

Cegedim, de son côté, affirme que 1 500 médecins utilisant MLM sont concernés par cette attaque, ce qui impliquerait un nombre de patients touchés bien inférieur. L’entreprise a sécurisé les accès, porté plainte et signalé la fuite de données à la Commission nationale de l’informatique et des libertés (CNIL).

Et maintenant ?

Les prochaines semaines seront cruciales pour déterminer l’ampleur de ce piratage et les conséquences pour les patients concernés. Il est important de surveiller les développements de cette affaire et les mesures prises par Cegedim et les autorités pour protéger les données des patients.

Il est également important de rappeler que la protection des données personnelles est un enjeu majeur dans le secteur de la santé, et que les entreprises et les institutions doivent prendre toutes les mesures nécessaires pour garantir la confidentialité et la sécurité des données des patients.

En conclusion, cet incident de sécurité soulève des questions importantes sur la protection des données personnelles dans le secteur de la santé. Il est essentiel de prendre des mesures pour prévenir de tels incidents à l’avenir et pour protéger les droits des patients.

Les conséquences pour les patients concernés peuvent être importantes, notamment en termes de confidentialité et de sécurité de leurs données personnelles. Il est possible que les données volées soient utilisées à des fins malveillantes, comme la fraude ou le harcèlement.