Le 26 février 2026, une enquête diffusée au 20h de France 2 révèle l’existence d’une base de données accessible sur le dark web, contenant les informations médicales de 11 à 15 millions de Français. Migliore consulting La source de la fuite : le logiciel MLM (MonLogicielMedical.com), développé par Cegedim Santé, filiale du groupe Cegedim SA, utilisé par 3 800 médecins en France, dont 1 500 ont été concernés par l’attaque.
La cyberattaque a été revendiquée par le groupe de hackers DumpSec. Cegedim Santé a détecté l’intrusion et déposé plainte le 27 octobre 2025. Pourtant, pendant quatre mois, aucune communication publique n’a été faite. C’est la révélation par France 2 qui a tout déclenché.
Au total, la base piratée contenait 19 millions de lignes informatiques, dont environ 4 millions de doublons. Les données s’étendaient sur une période de trois à quinze ans, selon l’ancienneté d’installation du logiciel dans les cabinets médicaux. Cette durée explique l’ampleur exceptionnelle du nombre de patients concernés.
La nature des données exposées : la zone grise du « commentaire libre »
Dans son communiqué du 26 février 2026, Cegedim précise que les données exposées proviennent « exclusivement du dossier administratif du patient : nom, prénom, sexe, date de naissance, téléphone, adresse, email et commentaire administratif en texte libre à la discrétion des médecins ».
Cette distinction entre « dossier administratif » et « dossier médical structuré » a été largement utilisée pour minimiser la portée de l’incident. Elle est pourtant trompeuse. Une zone de texte libre peut facilement contenir des informations excédant ce qui est strictement nécessaire à la prise en charge du patient. Une remarque apparemment anodine peut révéler indirectement une pathologie, une situation familiale ou sociale, voire des éléments intimes de la vie privée.
Au-delà du choc du chiffre, l’enjeu se cristallise sur une zone grise : le « texte libre », susceptible de contenir, même à la marge, des informations médicales ou intimes, donc à fort potentiel de stigmatisation.
La ministre déléguée chargée de la Santé, Stéphanie Rist, a précisé qu’environ 164 000 dossiers incluraient des données sensibles, sans qu’il s’agisse nécessairement de données de santé, et que les dossiers médicaux structurés seraient restés intègres.
Des personnalités politiques de premier plan seraient également présentes dans cette base, à l’image de potentiels candidats à l’élection présidentielle, de hauts fonctionnaires et de responsables de la sécurité nationale. Franceinfo
La chronologie : quatre mois de silence incompatibles avec le RGPD
Le délai entre l’intrusion, estimée à octobre 2025, et la révélation publique en février 2026, soit environ quatre mois, soulève des questions majeures sur la conformité de Cegedim au RGPD. L’article 34 du règlement impose de notifier les personnes concernées « dans les meilleurs délais » lorsqu’une violation de données est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
Les médecins concernés par la fuite massive n’ont été informés qu’en janvier 2026, soit près de trois mois après les faits. Medscape Le témoignage du Dr Abraham Christmann, médecin généraliste en Meurthe-et-Moselle, est édifiant : il a reçu un mail de Cegedim Santé le 19 janvier, arrivé dans ses spams, l’informant de la fuite de données liée au logiciel MLM. Seuls quatre des sept médecins généralistes de sa maison de santé avaient reçu ce message. Medscape
France Assos Santé souligne que les patients n’ont aucun moyen de savoir ce que contenait les éventuels commentaires rédigés dans leur dossier et, donc, la nature précise des informations divulguées. Migliore consulting
La réaction des autorités
Le ministère de la Santé
Le cabinet de Stéphanie Rist a souligné que l’incident « ne résulte ni d’une défaillance des systèmes du ministère, ni d’une infrastructure relevant directement de l’État ». Le ministère a en revanche enjoint la société Cegedim de mettre « immédiatement en œuvre » des mesures correctives. Le Quotidien du Médecin
Il y a par ailleurs une défaillance structurelle criante : l’éditeur ne disposait d’aucune authentification multifactorielle sur les comptes médecins utilisateurs de MLM. Pour pénétrer dans les systèmes, les attaquants n’ont eu besoin que d’identifiants volés. Les ministres ont demandé à Cegedim d’accélérer sa mise en conformité avec la directive NIS 2 et le Cyber Resilience Act.
La CNIL
La Commission nationale de l’informatique et des libertés a déclaré à l’AFP ne pas être en mesure « à ce stade » de confirmer « l’ampleur exacte » de la cyberattaque et de dire « si celle-ci a été rendue possible par des manquements en termes de sécurité ». Nul doute que les investigations de l’autorité se poursuivront, d’autant que le contexte réglementaire autour de Cegedim est particulièrement chargé.
L’ANSSI et le parquet
Cegedim Santé a notifié l’incident auprès de la CNIL, de l’ANSSI et du CERT Santé, le service du ministère de la Santé affecté à ces incidents, et a déposé plainte auprès du procureur de la République. Une enquête a été ouverte par le parquet de Paris pour « atteinte à un système de traitement automatisé de données ».
MG France
Le syndicat de médecins généralistes MG France a dit « refuser que le médecin généraliste porte la moindre responsabilité pour la diffusion de ces informations au-delà de son logiciel médical propre ». Le syndicat a saisi la CNIL « pour obtenir la clarification indispensable sur les responsabilités que supportent, ou pas, les professionnels de santé ».
Un récidiviste sous les projecteurs de la CNIL
L’affaire ne survient pas dans un vide. Elle s’inscrit dans un historique de manquements répétés de Cegedim face à ses obligations de protection des données.
Le 5 septembre 2024, la CNIL avait sévèrement sanctionné Cegedim Santé d’une amende de 800 000 euros. Après des contrôles menés en 2021, l’autorité avait conclu que Cegedim Santé, dans le cadre de l’utilisation de son logiciel Crossway, « avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé ».
Le 13 février 2026, soit treize jours seulement avant la révélation de la fuite MLM, le Conseil d’État rejetait les requêtes de Cegedim et confirmait les sanctions pour un montant total de 1,8 million d’euros. DPO PARTAGE
Par ailleurs, Cegedim Santé avait également été épinglé par la CNIL pour la collecte automatique des données du téléservice HRi de l’assurance maladie. Le logiciel Crossway intégrait automatiquement les données de remboursement dans le dossier patient dès leur consultation par le médecin, sans possibilité de les consulter sans les télécharger. Cette conception technique permettait à Cegedim Santé de récupérer des données auxquelles seuls les médecins étaient légalement autorisés à accéder. DPO PARTAGE
Analyse RGPD : les manquements identifiables
Sur l’article 32 RGPD (sécurité du traitement) : Cegedim était tenu de mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données. L’ampleur de la fuite suggère une défaillance structurelle. Le Droit L’absence d’authentification multifactorielle sur un logiciel traitant les données de santé de millions de patients constitue, à ce titre, une violation flagrante du principe de sécurité by design.
Sur les articles 33 et 34 RGPD (notification des violations) : L’incident a été détecté fin octobre 2025. Les médecins n’ont été notifiés qu’en janvier 2026. Les patients n’ont toujours pas été directement informés. L’article 34 impose une notification « dans les meilleurs délais » pour les violations à risque élevé, et des données de santé sensibles constituent indiscutablement un risque élevé. Le Droit
Sur la nature des champs libres : La CNIL surveille depuis longtemps ces pratiques. Dès 2010, elle avait sanctionné deux études d’huissiers de justice pour la conservation, dans leurs fichiers débiteurs, de commentaires subjectifs ou injurieux. L’existence d’une zone de texte libre constitue un traitement de données à caractère personnel au sens du RGPD, emportant notamment une obligation d’information préalable : la personne concernée doit être informée que des informations la concernant peuvent être inscrites dans un fichier comportant des commentaires rédigés par un professionnel. Journaldunet
Ce que peuvent faire les patients
Les victimes potentielles sont invitées à contacter leur médecin pour savoir s’il utilise le logiciel Cegedim MLM et s’il fait partie des 1 500 praticiens concernés. Il convient d’être vigilant face aux appels, SMS ou e-mails inhabituels : des escrocs pourraient exploiter ces données pour des contacts ciblés. Tout incident suspect peut être signalé sur cybermalveillance.gouv.fr, la plateforme officielle d’assistance aux victimes de cybermalveillance.
Les victimes peuvent déposer un signalement sur signal.cnil.fr en indiquant être victime d’une violation de données liée au piratage de Cegedim Santé. La CNIL peut prononcer des sanctions allant jusqu’à 4 % du chiffre d’affaires mondial de Cegedim et contraindre l’entreprise à prendre des mesures correctives.
Ce que cette affaire dit du secteur
Gérôme Billois, expert en cybersécurité au cabinet Wavestone, a qualifié cette fuite de « très grave », estimant qu’elle pourrait être « la plus grosse en France » dans le secteur de la santé, avec des « conséquences irrémédiables ». DPO PARTAGE
Cette affaire n’est pas isolée. En dépit des programmes du ministère de la Santé pour améliorer la robustesse du système de santé face au risque cyber, notamment le programme Care pour les établissements de santé et le Ségur numérique avec les éditeurs, les cyberattaques se multiplient. La séquence récente est préoccupante : cyberattaque contre Weda en novembre 2025 (23 000 soignants), fuite MédecinDirect en décembre 2025 (323 069 patients), et désormais Cegedim MLM en février 2026 (jusqu’à 15 millions de personnes).
La question posée par cette affaire dépasse la seule responsabilité de Cegedim. Elle interroge la capacité du secteur de l’édition de logiciels médicaux à assumer pleinement son rôle de sous-traitant ou de responsable de traitement au sens du RGPD, dans un environnement où les données traitées sont parmi les plus sensibles qui soient.
Sources : communiqué officiel Cegedim du 26 février 2026, déclaration ministérielle de Stéphanie Rist (X, 27 février 2026), CNIL délibération SAN-2024-013 du 5 septembre 2024, Conseil d’État 13 février 2026, CNIL signal.cnil.fr, cybermalveillance.gouv.fr
