Cegedim : fuite de données médicales massive en France

A lire aussi sur DPO PARTAGE

ReCyF : l’ANSSI publie son référentiel de cybersécurité pour anticiper la transposition de NIS 2 en France

Comment le vol de ces donnees permet d’acceder a n’importe quel compte sans jamais taper un seul mot de passe

Fuite du code source de Claude Code : quand une erreur de packaging expose 500 000 lignes de code chez Anthropic

Sommaire

Quinze millions de Français. C’est le chiffre avancé par le ministère de la Santé ce vendredi 27 février 2026, au lendemain d’une enquête de « L’Œil du 20 heures » sur France 2 qui a fait l’effet d’une déflagration. Une base de données contenant des informations médicales d’une sensibilité extrême serait accessible sur le dark web. Au centre de l’affaire : Cegedim Santé, filiale du groupe Cegedim, éditeur majeur de logiciels pour les professionnels de santé en France. Et pour quiconque suit le sujet de la protection des données de santé, cette catastrophe n’est pas exactement une surprise.

Le logiciel d’un médecin sur dix

Cegedim n’est pas un acteur anodin. Coté sur Euronext Growth (ALCGM), le groupe basé à Boulogne-Billancourt emploierait environ 6 500 collaborateurs dans plus de 10 pays et aurait réalisé un chiffre d’affaires de plus de 649 millions d’euros en 2025. Sa filiale Cegedim Santé édite et commercialise des logiciels de gestion destinés aux médecins de ville. Selon une estimation de la CNIL, environ 25 000 cabinets médicaux et 500 centres de santé utiliseraient ses solutions (source : CNIL, délibération SAN-2024-013, 5 septembre 2024).

Le logiciel au cœur de l’incident actuel s’appelle MonLogicielMedical (MLM), accessible via MonLogicielMedical.com. Il serait utilisé par 3 800 médecins en France. C’est peu rapporté au parc total de Cegedim, mais suffisant pour générer une base de données de plusieurs millions de patients.

Ce que Cegedim reconnaît

Dans un communiqué publié le 26 février 2026, le soir même de la diffusion du reportage, Cegedim a reconnu les faits dans des termes mesurés. La filiale Cegedim Santé aurait identifié « fin 2025, un comportement anormal de requêtes applicatives sur des comptes médecins utilisateurs du logiciel MLM ». Sur les 3 800 médecins utilisateurs, 1 500 seraient concernés par cette attaque. Ils auraient été contactés début janvier 2026 et accompagnés dans leurs démarches de notification à la CNIL et d’information de leurs patients (source : communiqué Cegedim, https://www.cegedim.fr/Communique/Cegedim_Communique26022026.pdf).

Sur la nature des données compromises, Cegedim adopte une position prudente : les informations consultées ou extraites proviendraient « exclusivement du dossier administratif du patient : nom, prénom, sexe, date de naissance, téléphone, adresse, email et commentaire administratif en texte libre à la discrétion des médecins ». L’entreprise insiste : « Les dossiers médicaux structurés des patients sont restés intègres. »

C’est ce champ « commentaire administratif en texte libre » qui est au cœur de la tempête.

Le « commentaire libre », bombe à retardement du secret médical

Car dans la pratique quotidienne de la médecine de ville, ce champ de texte libre est devenu, au fil des années, un carnet de notes informel où les praticiens consignent à peu près tout. Et quand on dit tout, c’est tout.

Le chercheur en cybersécurité Clément Domingo, alias SaxX, affirmerait avoir consulté un échantillon de plus de 22 millions d’entrées extraites de cette base. Ses constats, publiés sur le réseau social X le 27 février 2026, seraient accablants. Il y aurait identifié des mentions de séropositivité VIH, d’antécédents de viols et de violences sexuelles, de troubles psychiatriques, d’orientations sexuelles, de convictions religieuses, d’addictions, de tendances suicidaires, et d’historiques familiaux détaillés sur plusieurs années (source : SaxX, @SaxX, X/Twitter, 27 février 2026, https://x.com/_SaxX_/status/2027272779586789555).

France 2 aurait de son côté relevé dans la base des annotations telles que « porteuse sida !!!! », « serait homosexuelle d’après sa mère », « mère musulmane voilée », ou encore « catholique non pratiquante car ses 2 frères sont suicidés ». La chaîne aurait contacté certaines personnes dont les informations figuraient dans la base : toutes auraient confirmé l’exactitude des données (source : Franceinfo, « ENQUÊTE FRANCETV. Une fuite de données médicales inquiète en France, entre 11 et 15 millions de personnes touchées », 26 février 2026, https://www.franceinfo.fr/sante/enquete-francetv-une-fuite-massive-de-donnees-medicales-inquiete-en-france_7831823.html).

Dans un autre message publié le même jour, SaxX aurait listé des extraits encore plus graves, faisant état d’annotations décrivant des situations d’attouchements sur mineurs, de viols, de boulimie consécutive à des agressions sexuelles, et de dépressions sévères liées à des traumatismes familiaux (source : SaxX, X/Twitter, https://x.com/_SaxX_/status/2027301325067760022).

Qualifier ces données de simples « commentaires administratifs », comme le fait Cegedim dans son communiqué, relèverait au mieux d’un euphémisme, au pire d’une tentative de minimisation.

15 millions de personnes, 169 000 annotations sensibles

Le ministère de la Santé est venu préciser l’ampleur du sinistre lors d’un point presse organisé le 27 février. Les « données administratives » de quelque 15 millions de Français auraient fait l’objet de cette fuite. Pour 169 000 d’entre eux, soit environ 1 % des cas, ces données seraient assorties d’annotations libres saisies par les médecins, « dont certaines peuvent être des données sensibles » (source : AFP, repris par Boursorama, CNews, France 24, La Gazette France, 27 février 2026).

Le ministère a par ailleurs tenu à préciser que cette fuite « ne résulte ni d’une défaillance des systèmes du ministère, ni d’une infrastructure relevant directement de l’État », pointant la responsabilité du « prestataire privé, responsable du traitement des données ». La ministre de la Santé Stéphanie Rist aurait demandé à Cegedim Santé de rendre compte des causes de l’incident et d’apporter des garanties (source : AFP, 27 février 2026).

DumpSec : le groupe qui revendique l’attaque

Contrairement à ce que pourrait laisser penser la fiche de renseignement mentionnant le groupe Cl0p (sur laquelle nous reviendrons), l’incident MLM de 2025 serait revendiqué par un autre acteur : le groupe cybercriminel DumpSec. Déjà impliqué dans plusieurs attaques récentes en France, dont une visant une branche du ministère des Sports, DumpSec affirmerait détenir plus de 65 millions de données médicales et les proposerait à la vente sur BreachForums, le principal forum de revente de données volées (source : Clubic, 27 février 2026, https://www.clubic.com/actualite-602524-la-cyberattaque-cegedim-prouve-que-nos-medecins-notent-et-conservent-le-pire-de-notre-vie-intime.html ; JustGeek, 27 février 2026, https://www.justgeek.fr/piratage-cegedim-fuite-donnees-medicales-147048/).

La publication initiale, qui offrait le fichier en accès libre, aurait été supprimée à la suite de la diffusion du reportage de France 2. Toutefois, un compte se revendiquant de DumpSec proposerait toujours la base de données à la vente au moment où ces lignes sont écrites. L’auteur de cette nouvelle publication affirmerait disposer d’un volume de données nettement plus conséquent que l’extrait diffusé en accès libre un peu plus tôt (source : Next.ink, 27 février 2026, https://next.ink/226657/une-fuite-chez-un-editeur-de-logiciels-medicaux-expose-11-a-15-millions-de-francais/ ; MacGeneration, 27 février 2026).

Le pirate à l’origine du vol, contacté par France 2, affirmerait n’avoir publié qu’une partie de la base. Il prétendrait avoir signalé les faits à Cegedim, sans jamais obtenir de réponse. Ce que Cegedim dément formellement : « Cegedim n’a jamais été contacté par le cybercriminel. » France 2 elle-même indiquerait ne pas avoir eu de retour à ses propres sollicitations auprès de l’entreprise.

Des personnalités politiques dans la base

L’affaire prend une dimension de sécurité nationale. Selon France 2 et plusieurs sources concordantes, des personnalités politiques de premier plan figureraient dans cette base, incluant de potentiels candidats à l’élection présidentielle, de hauts fonctionnaires et des responsables de la sécurité nationale (source : Franceinfo, France Bleu, Le Moniteur des Pharmacies, 27 février 2026).

La députée Stella Dupont (2e circonscription de Maine-et-Loire) aurait estimé crédibles les informations la concernant et appelé à un sursaut en matière de cybersécurité, interrogeant la capacité réelle des institutions à protéger les données personnelles (source : Le Moniteur des Pharmacies, 27 février 2026, https://www.lemoniteurdespharmacies.fr/business/numerique/e-sante/cyberattaque-sur-des-donnees-de-sante-combien-de-logiciels-touches-chez-cegedim-sante).

Des données médicales aussi précises sur des individus exerçant des responsabilités à ce niveau constitueraient, selon plusieurs experts, un outil de pression ou de chantage redoutable.

Le fantôme de Cl0p : un précédent de 2023 que personne n’a oublié

Ce n’est pas la première fois que le nom de Cegedim apparaît dans les bases de données des groupes cybercriminels. En juin 2023, le groupe Cl0p (aussi écrit Cl0p) avait revendiqué une attaque contre Cegedim dans le cadre de sa campagne massive exploitant la vulnérabilité zero-day CVE-2023-34362 affectant le logiciel MOVEit Transfer, édité par Progress Software.

Les données de la fiche de threat intelligence sont éloquentes :

Champ	Valeur
Organisation	CEGEDIM.COM
Groupe criminel	Clop
Hash RF	`1348a165feb0d1430c2ab71eb9a3fcc83110760589c302da48406d82be7b96c9`
Date de détection	16 juin 2023, 14:38:20
Localisation cible	France
Secteur économique	Unknown
Données publiées	0 GB (relevé initial)

Ce hash correspondrait à l’identifiant de la revendication Cl0p dans les bases de suivi. La date du 16 juin 2023 coïnciderait avec la période d’indexation de la revendication, quelques jours avant le début effectif de la publication des données.

Car Cl0p n’avait pas fait dans la demi-mesure. Selon LeMagIT, plus de 290 segments d’archives compressées avaient été publiés, totalisant plus de 1,5 To de données compressées présentées comme dérobées à Cegedim. L’attaque aurait remonté au 30 mai 2023, les équipes de Cegedim ayant pris connaissance du bulletin d’alerte de Progress Software dès le 1er juin 2023 à 8h du matin. De nouveaux indicateurs de compromission n’auraient été identifiés que le 9 juin (source : LeMagIT, « Campagne MOVEit : Cl0p divulgue une grande quantité de données volées à Cegedim », 21-23 juin 2023, https://www.lemagit.fr/actualites/366542375/Campagne-MOVEit-Cl0p-commence-a-divulguer-les-donnees-volees-a-Cegedim).

Cegedim n’avait à l’époque pas répondu aux demandes de commentaires de LeMagIT. Un silence qui se répète, puisque France 2 rapporte le même type de non-réponse en 2026.

Cette campagne MOVEit s’inscrivait dans une offensive mondiale ayant touché plus de 2 700 organisations et exposé les données d’environ 93,3 millions d’individus. Les gains estimés de Cl0p pour cette seule campagne se situeraient entre 75 et 100 millions de dollars. En France, outre Cegedim, l’attaque MOVEit avait également touché Synlab (diagnostics médicaux), les Hospices Civils de Lyon, Schneider Electric et la SNCF (sources : Wikipédia « Clop » ; Wikipédia EN « 2023 MOVEit data breach » ; En-Contact, 28 août 2023 ; CERT-FR, CERTFR-2023-ALE-005).

Aucune source ne permet à ce stade de confirmer ou d’infirmer un lien direct entre les 1,5 To exfiltrés par Cl0p en 2023 et la base de données publiée par DumpSec en 2026. Il pourrait s’agir de deux incidents entièrement distincts ou, au contraire, d’une même masse de données ayant changé de mains sur les marchés du dark web. Cette question reste ouverte.

800 000 euros d’amende en 2024 : quand la CNIL avait déjà tiré la sonnette d’alarme

L’ironie de cette affaire, c’est que la CNIL avait déjà placé Cegedim Santé sous les projecteurs. Le 5 septembre 2024, l’autorité avait prononcé une amende de 800 000 euros à l’encontre de la société, pour avoir traité des données de santé sans autorisation via un autre logiciel, Crossway, et son « observatoire » THIN (source : CNIL, « Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ », 12 septembre 2024, https://www.cnil.fr/fr/donnees-de-sante-sanction-de-800-000-euros-societe-cegedim-sante).

Le mécanisme était le suivant : Cegedim Santé proposait à un panel de médecins utilisant Crossway d’adhérer à un « observatoire ». En contrepartie d’une remise sur la licence du logiciel, les données des patients étaient collectées puis transmises à des clients de Cegedim pour réaliser des études et statistiques dans le domaine de la santé.

Cegedim soutenait que ces données, associées à de simples codes patients, étaient anonymisées. La CNIL a démontré le contraire.

Pseudonymisation n’est pas anonymisation : la leçon que Cegedim refuse d’apprendre

C’est ici que les enjeux de protection des données prennent toute leur dimension. La formation restreinte de la CNIL avait relevé que Cegedim Santé collectait un ensemble extrêmement riche de données sur chaque patient : année de naissance, sexe, catégorie socio-professionnelle, allergies, antécédents médicaux, taille, poids, diagnostic, prescriptions médicales, arrêts de travail, résultats d’analyses. Chaque patient se voyait attribuer un identifiant unique permettant de reconstituer l’intégralité de son parcours de soins pour un même médecin. La base THIN contenait fin mars 2021 des données relatives à 13,4 millions de consultations associées à 4 millions de codes patients (source : DPO PARTAGE, « Pseudonymisation n’est pas anonymisation : le Conseil d’État confirme les sanctions CNIL contre le groupe Cegedim », février 2026, https://www.dpo-partage.fr/pseudonymisation-nest-pas-anonymisation-le-conseil-detat-confirme-les-sanctions-cnil-contre-le-groupe-cegedim/).

La CNIL avait conclu qu’il ne s’agissait pas d’une anonymisation mais d’une simple pseudonymisation, car il était possible d’isoler un individu au sein de la base (risque d’individualisation), de recouper les données entre elles (risque de corrélation) et de déduire l’identité d’une personne à partir de la combinaison d’informations disponibles (risque d’inférence).

Le 13 février 2026, soit treize jours seulement avant la révélation de la fuite MLM, le Conseil d’État rejetait les requêtes de Cegedim et confirmait les sanctions pour un montant total de 1,8 million d’euros. La haute juridiction s’appuyait notamment sur l’arrêt de la Cour de justice de l’Union européenne du 7 mars 2024 (OC c/ Commission, C-479/22), selon lequel une donnée ne peut être considérée comme anonyme que si le risque d’identification est « insignifiant » et l’identification « irréalisable en pratique ».

Pourquoi cette fuite rend l’identification des personnes triviale

Dans le cas de la fuite MLM de 2025-2026, la situation est encore plus critique que celle qui avait valu à Cegedim sa première sanction. Car ici, il ne s’agit même plus de pseudonymisation : les données comprendraient les noms et prénoms complets, les adresses postales, les numéros de téléphone et les adresses e-mail, directement associés aux annotations médicales en texte libre.

Autrement dit, la réidentification ne nécessite aucun effort, aucun recoupement, aucune table de correspondance. Il suffit de lire.

Mais même dans l’hypothèse où certains enregistrements ne contiendraient qu’un identifiant sans le nom complet, la littérature scientifique sur la ré-identification est sans appel. Une étude publiée dans Nature Communications (Rocher, Hendrickx, de Montjoye, 2019) a démontré que 99,98 % de la population américaine peut être correctement réidentifiée dans n’importe quel jeu de données à partir de 15 attributs démographiques seulement. Avec le nombre d’attributs présents dans la base MLM (date de naissance, sexe, adresse, pathologies, prescriptions…), le risque de réidentification serait quasi-total.

L’avis 05/2014 du Groupe de travail Article 29 sur les techniques d’anonymisation rappelle qu’un processus ne peut être qualifié d’anonymisation que s’il résiste simultanément aux trois types de risques : individualisation, corrélation et inférence. Aucune de ces conditions ne serait remplie dans le cas des données MLM.

Par ailleurs, Cegedim Santé avait également été épinglé par la CNIL pour la collecte automatique des données du téléservice HRi de l’assurance maladie. Le logiciel Crossway intégrait automatiquement les données de remboursement dans le dossier patient dès leur consultation par le médecin, sans possibilité de les consulter sans les télécharger. Cette conception technique permettait à Cegedim Santé de récupérer des données auxquelles seuls les médecins étaient légalement autorisés à accéder (source : Légifrance, délibération SAN-2024-013 ; DPO PARTAGE, février 2026).

Des conséquences irrémédiables

Gérôme Billois, expert en cybersécurité au cabinet Wavestone, a qualifié cette fuite de « très grave », estimant qu’elle pourrait être « la plus grosse en France » dans le secteur de la santé, avec des « conséquences irrémédiables ». Il souligne une réalité que tous les professionnels de la donnée connaissent : « une information de santé qui dit « vous avez le sida » ou « vous avez telle maladie », une fois qu’elle est sortie, vous ne pourrez plus jamais revenir en arrière » (source : AFP, repris par La Gazette France, Boursorama, 27 février 2026).

Les risques concrets pour les personnes concernées sont multiples et documentés :

Discrimination et exclusion. Des employeurs, des assureurs, des bailleurs pourraient exploiter ces informations. Un statut sérologique, un suivi psychiatrique, une addiction documentée dans un champ de texte libre constituent autant de motifs de discrimination potentielle, même si cette discrimination est illégale.

Chantage et extorsion. Les annotations les plus intimes, celles qui concernent la vie sexuelle, les violences subies, les pratiques religieuses, constituent des leviers de pression redoutables. Pour les personnalités publiques présentes dans la base, le risque est démultiplié.

Hameçonnage ciblé (spear phishing). Un attaquant disposant du nom, de l’adresse, du téléphone et de l’historique médical d’une personne peut construire des messages d’une crédibilité absolue : faux courriers de l’assurance maladie, fausses relances de laboratoires, faux rappels de consultation.

Dimension de sécurité nationale. La présence de candidats potentiels à l’élection présidentielle, de hauts fonctionnaires et de responsables de la sécurité nationale dans cette base transforme un incident de cybersécurité en enjeu géopolitique.

Les zones d’ombre et contradictions

Plusieurs points restent en suspens dans ce dossier, et les contradictions sont nombreuses.

Premier point : le contact avec le pirate. L’auteur du vol affirmerait avoir prévenu Cegedim. L’entreprise dément formellement. France 2 indique ne pas avoir obtenu de réponse non plus. Cette question n’est pas anecdotique : si Cegedim avait été alerté et n’avait pas réagi, les conséquences juridiques seraient considérablement aggravées.

Deuxième point : l’écart sur les volumes. Cegedim ne communique que le nombre de médecins concernés (1 500) sans jamais chiffrer le nombre de patients. DumpSec revendique 65 millions d’entrées. France 2 estime entre 11 et 15 millions de personnes. Le ministère confirme 15 millions. Cet écart entre la communication de l’entreprise et la réalité mesurée par des tiers est préoccupant.

Troisième point : le délai. L’incident aurait été détecté « fin 2025 ». Les médecins auraient été contactés « début janvier 2026 ». Mais la révélation publique ne survient que le 26 février 2026, par une enquête journalistique. Combien de semaines se sont écoulées pendant lesquelles les 15 millions de personnes concernées ignoraient que leurs données les plus intimes circulaient sur le dark web ?

Quatrième point : deux incidents, une seule entreprise. Cl0p en 2023, DumpSec en 2025. Deux groupes cybercriminels distincts, deux vecteurs d’attaque différents, la même victime. Cette récurrence pose la question de la robustesse structurelle de la sécurité informatique chez Cegedim.

Un contexte sectoriel catastrophique

L’affaire Cegedim ne survient pas dans un vide. Le secteur de la santé numérique en France accumule les incidents depuis des mois :

En novembre 2024, 750 000 dossiers patients avaient été dérobés via le logiciel Mediboard. En novembre 2025, la cyberattaque contre Weda avait touché 23 000 soignants. En décembre 2025, une fuite chez MédecinDirect avait concerné jusqu’à 323 069 patients. En mai 2023, un incident chez Doctolib avait entraîné la perte de données médicales sensibles (sources : Caducee.net, 27 février 2026).

Gérôme Billois y voit la conséquence d’un « sous-investissement en cybersécurité depuis des années » dans le secteur de la santé.

Ce qui distingue l’affaire Cegedim de tous ces précédents, c’est la nature des données exposées. Ce ne sont pas des noms et des numéros de sécurité sociale. Ce ne sont pas des résultats de laboratoire. Ce sont les mots que votre médecin a griffonnés un jour entre deux consultations sur ce qu’il y a de plus intime dans votre vie. Et ces mots sont aujourd’hui lisibles par n’importe qui disposant d’une connexion internet et sachant où chercher.

Ce que dit le droit

Les données de santé bénéficient du régime de protection le plus élevé dans le droit français et européen. Le RGPD les classe parmi les « catégories particulières de données » (article 9), dont le traitement est en principe interdit sauf exceptions strictement encadrées. La loi Informatique et Libertés, dans son article 66, impose que tout traitement de données de santé soit soumis à autorisation préalable de la CNIL ou à conformité à un référentiel dédié.

Cegedim affirmerait avoir procédé à la notification auprès de la CNIL (article 33 du RGPD) et au dépôt de plainte auprès du procureur de la République. Les médecins concernés auraient été accompagnés dans leurs obligations de notification aux patients (article 34 du RGPD).

Mais le précédent de la sanction de 2024, confirmée en appel pour 1,8 million d’euros, constitue un élément aggravant majeur. Il démontre que les manquements de Cegedim en matière de protection des données de santé ne relèvent pas de l’accident isolé mais d’un schéma récurrent. La CNIL avait alors pointé « la gravité des manquements » et « le caractère massif » du traitement des données concernées.

Le ministère de la Santé a précisé que les annotations libres des médecins, aussi intimes soient-elles, ne constituent pas en soi une infraction au RGPD. C’est exact sur le plan juridique : le médecin est libre de consigner ce qu’il juge utile à la prise en charge de son patient. En revanche, la sécurisation de ces données est une obligation absolue du responsable de traitement.

Ce que cette affaire change

Pour les 15 millions de personnes concernées, le mal est fait. Les données publiées sur le dark web ne disparaissent pas. Elles sont copiées, redistribuées, revendues, indexées. Elles resteront accessibles pendant des années, peut-être des décennies.

Pour les professionnels de la protection des données, cette affaire est un cas d’école. Elle démontre, s’il en était encore besoin, que la pseudonymisation n’est pas l’anonymisation. Que les champs de texte libre constituent des bombes à retardement dans les systèmes d’information de santé. Que la sécurité des éditeurs de logiciels médicaux est un enjeu systémique qui dépasse la responsabilité individuelle de chaque médecin.

Pour les autorités, enfin, elle pose une question inconfortable : comment un acteur déjà sanctionné par la CNIL pour des manquements graves à la protection des données de santé peut-il, quelques mois plus tard, se retrouver au centre de la plus importante fuite de données médicales jamais documentée en France ?

SaxX conclut son analyse par une phrase qui résume l’état d’esprit de la communauté cybersécurité : « Cette cyberattaque est la plus grave vécue jusqu’ici en France. On n’est qu’au début de cette affaire. »