Un incident de sécurité a touché la plateforme numérique utilisée pour collecter les autorisations parentales dans le cadre des campagnes de vaccination contre les papillomavirus humains (HPV) et les infections invasives à méningocoque ACWY (MenACWY) en Auvergne-Rhône-Alpes. Selon Franceinfo - Santé, l’Agence régionale de santé (ARS) a signalé, mercredi 8 juillet 2026, une faille ayant permis à un tiers non autorisé d’accéder à des données personnelles entre le 22 juin et la résolution du problème.

Ce qu'il faut retenir

  • La faille a été signalée le 22 juin 2026 aux centres de vaccination et à l’ARS Auvergne-Rhône-Alpes, avant d’être résolue.
  • Le prestataire Syadem, en charge de l’hébergement, a confirmé l’accès non autorisé à certaines données personnelles.
  • Les données concernées incluent les noms, prénoms, dates de naissance, adresses, et informations vaccinales des élèves, ainsi que des données sensibles pour leurs représentants légaux.
  • L’ARS précise que « l’ensemble des élèves ayant participé à la campagne de vaccination en collège ainsi que leurs représentants légaux pourrait être impacté ».
  • Une plainte a été déposée et la Commission nationale de l’informatique et des libertés (Cnil) a été saisie.

L’incident concerne spécifiquement la plateforme dédiée aux autorisations parentales pour les vaccinations scolaires, un dispositif mis en place dans le cadre des campagnes de prévention contre les HPV et les MenACWY. D’après le courrier de l’ARS consulté par le réseau ICI et cité par Franceinfo - Santé, la faille a été identifiée le 22 juin, date à laquelle le problème a été signalé aux centres de vaccination et aux autorités sanitaires régionales.

Les investigations menées depuis confirment qu’un tiers non autorisé a pu accéder à une partie des données personnelles traitées par la plateforme. Le prestataire technique Syadem, responsable de l’hébergement des données, a précisé que la faille a été « contenue » et que des mesures de sécurisation supplémentaires ont été déployées pour éviter toute nouvelle intrusion. « La faille est désormais résolue », a indiqué l’ARS dans son communiqué.

Quelles données ont été potentiellement exposées ?

Les autorités sanitaires ont dressé la liste des informations pouvant avoir été consultées par le tiers non autorisé. Pour les élèves, cela inclut : le nom, prénom, date de naissance, sexe, code postal et commune de résidence, nom du collège ainsi que les données vaccinales. Pour les représentants légaux des mineurs, les informations concernées sont le nom, prénom, numéro de téléphone portable, adresse électronique, signature, numéro de Sécurité sociale et régime de Sécurité sociale.

À ce stade, les services de l’ARS n’ont pas été en mesure d’identifier précisément les personnes dont les données ont été exposées. « Par mesure de précaution, nous considérons que l’ensemble des élèves ayant participé à la campagne de vaccination en collège ainsi que leurs représentants légaux pourrait être impacté », peut-on lire dans le courrier adressé aux familles.

Réactions et suites judiciaires

Face à cet incident, l’ARS Auvergne-Rhône-Alpes a pris plusieurs initiatives. La Commission nationale de l’informatique et des libertés (Cnil) a été officiellement notifiée de l’incident, conformément aux obligations légales en matière de protection des données personnelles. Par ailleurs, une plainte a été déposée auprès des autorités judiciaires compétentes pour faire la lumière sur les circonstances de l’accès frauduleux et identifier d’éventuelles responsabilités.

Le prestataire Syadem, sous-traitant en charge de la plateforme, a indiqué avoir mis en place des mesures correctives pour renforcer la sécurité des données. L’ARS a également rappelé que la protection des informations personnelles des usagers reste une priorité absolue, notamment dans le cadre de campagnes de vaccination qui impliquent des mineurs.

Contexte et enjeux des vaccinations scolaires

Les vaccinations contre les HPV et les MenACWY sont proposées dans les collèges dans le cadre des programmes de prévention sanitaire nationaux. En Auvergne-Rhône-Alpes, ces campagnes concernent plusieurs milliers d’élèves chaque année. La collecte des autorisations parentales via une plateforme numérique vise à simplifier le processus pour les familles tout en assurant un suivi centralisé des vaccinations.

Cet incident rappelle les risques liés à la digitalisation des données de santé, un sujet régulièrement évoqué par les autorités. En 2025, la Cnil avait déjà pointé du doigt plusieurs failles de sécurité dans des systèmes similaires, soulignant la nécessité de renforcer les protocoles de cybersécurité dans le secteur médical.

Et maintenant ?

Les prochaines étapes devraient inclure une enquête approfondie pour déterminer l’origine exacte de la faille et les éventuelles négligences ayant permis cet accès non autorisé. La Cnil pourrait rendre un avis dans les semaines à venir, tandis que les autorités judiciaires pourraient engager des poursuites si des manquements sont identifiés. Les familles concernées sont invitées à rester vigilantes quant à d’éventuels usages frauduleux de leurs données personnelles.

Reste à savoir si cet incident aura un impact sur la confiance des parents dans les plateformes numériques utilisées pour les vaccinations scolaires. Les autorités sanitaires devraient communiquer davantage dans les prochains jours pour préciser les mesures de protection mises en place et rassurer les usagers.

Les familles concernées peuvent contacter l’ARS Auvergne-Rhône-Alpes ou le service de vaccination de leur établissement pour obtenir des informations complémentaires. En cas de doute sur une utilisation frauduleuse de leurs données, elles sont invitées à signaler l’incident à la plateforme FranceConnect ou à leur banque en cas d’utilisation suspecte de leur numéro de Sécurité sociale.

Aucun calendrier précis n’a été communiqué pour l’instant. L’enquête judiciaire et les investigations de la Cnil devraient prendre plusieurs semaines, voire plusieurs mois selon leur complexité.