Données de santé : une accumulation de fuites, conséquence d’un « sous-investissement en cybersécurité »
Fin février, une enquête de France 2 a révélé que les données de santé de près de 15 millions de patients avaient été piratées fin 2025 et vendues sur le darkweb. Cegedim Santé, éditeur du logiciel MonLogicielMedical.com (MLM), a reconnu que les dossiers de 1 500 médecins étaient concernés.
Les commentaires libres de 169 000 dossiers piratés
La cyberattaque a porté sur « 19 millions de lignes informatiques », contenues dans une base de données ayant « entre 3 et 15 ans d’historique, en fonction de la date d’installation du logiciel dans les cabinets des médecins » a indiqué le ministère de la Santé. Selon Cegedim Santé, les données proviendraient « exclusivement du dossier administratif du patient ». Il s’agirait avant tout d’éléments d’identification et de contact comme le nom, le prénom, le sexe, la date de naissance, le numéro de téléphone, le mail ou l’adresse postale.
« Dans 1 % des cas, soit pour 169 000 dossiers, ce sont des données plus sensibles qui ont fui. Il s’agit de commentaires rédigés par des médecins à propos de leurs patients » précise le cabinet de Stéphanie Rist. Des mentions concernant l’orientation sexuelle : « serait homosexuelle d’après sa mère », les pratiques religieuses : « mère musulmane voilée » ou « catholique non pratiquante car ses 2 frères sont suicidés », ainsi que des pathologies : « porteuse sida » ou des traumatismes : « viol incestueux » auraient ainsi été révélées. « Il n’y a pas de documents de santé qui ont été diffusés, ni ordonnances, ni résultats d’examens de biologie » indique le ministère.
Cegedim Santé déjà condamné par la Cnil
« La protection des données des patients est une exigence absolue. Les acteurs privés de l’écosystème de santé ont des obligations strictes en matière de cybersécurité et de conformité » rappelle en outre le ministère de la Santé (cf. Doctolib condamnée à verser 4,6 millions d’euros pour abus de position dominante).
En septembre 2024, Cegedim Santé avait d’ailleurs déjà été condamné par la Cnil à une amende de 800 000 € pour avoir « traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé ». La commission pointait notamment « la gravité des manquements » observés, et le « caractère massif » du traitement des données concernées (cf. Données de santé : la CNIL toujours mobilisée).
La récente fuite « ne résulte ni d’une défaillance des systèmes du ministère, ni d’une infrastructure relevant directement de l’Etat » indique la porte-parole du ministère de la Santé qui écarte toute responsabilité publique.
La fin des annotations contextuelles et non médicales ?
Selon le journal le Parisien, à la suite de cette cyberattaque, le Conseil national de l’ordre des médecins aurait proposé de modifier le Code de déontologie médicale afin d’encadrer plus rigoureusement le contenu des dossiers médicaux, ce qui aurait été accepté par le ministère de la Santé.
Alors que le texte indique actuellement que le médecin « tient pour chaque patient une fiche d’observation qui lui est personnelle », la nouvelle version devrait supprimer la notion de « notes personnelles », jugée « source de confusion ». Le médecin devrait ainsi avoir pour chaque patient un dossier médical ne contenant que des informations « formalisées se rapportant à sa santé ». Seuls les éléments « pertinents et limités à ce qui est nécessaire » pourront y figurer, et non plus les annotations contextuelles et non médicales, comme un divorce ou un deuil par exemple.
Cette évolution est toutefois critiquée par certains praticiens. En effet, selon le docteur Jean-Paul Hamon, président d’honneur de la Fédération des médecins de France, « ces notes sont essentielles à la consultation, car on ne peut pas se souvenir de tout ». « Si l’on devait supprimer toutes annotations libres, j’arrêterais l’informatique et je retournerais au papier » prévient le praticien.
Un « vrai souci de confiance et de sécurité pour les patients »
Gérôme Billois, expert en cybersécurité au cabinet Wavestone, considère que la fuite dont a fait l’objet Cegedim pourrait être « la plus grosse en France » concernant la santé (cf. Cyber-attaque : plus de 33 millions de Français concernés). Il estime qu’il s’agit de la conséquence d’un « sous-investissement en cybersécurité depuis des années » dans ce secteur. Cette cyberattaque aura des « conséquences irrémédiables » prévient-il. Agnès Giannotti, présidente de MG France, le principal syndicat de médecins généralistes, souligne pour sa part qu’il existe un « vrai souci de confiance et de sécurité pour les patients et de pénalisation de notre exercice » (cf. Cyberattaque à l’hôpital d’Armentières : fermeture des urgences).
Alors que les fuites de données touchant tant le domaine public que le domaine privé se sont multipliées, cette nouvelle cyberattaque donne un argument de plus aux soignants pour s’opposer à l’obligation de remplir le dossier médical partagé (DMP), initialement voulue par le projet de loi de financement de la Sécurité Sociale 2026 (PLFSS) pour lutter contre les fraudes sociales (cf. Dossier médical partagé : le Conseil d’Etat veut généraliser l’obligation de consentement éclairé). Les médecins sont en effet personnellement responsables de la sauvegarde et de l’inviolabilité des données patient recueillies, ils ne sauraient prendre le risque d’un partage systématique de leurs données.
102,5 millions de données médicales piratées
Depuis la cyberattaque de Cegedim, d’autres acteurs du secteur de la santé ont été visés. En moins d’un an, Clement Domingo, hackeur connu sous le pseudo SaxX, estime que 102,5 millions de données médicales ont été piratées.
Il y a quelques mois, huit agences régionales de santé (ARS) et plus de 130 hôpitaux ont été touchés. Une base de données de 35 000 000 dossiers patients liée à cette attaque vient d’être récemment mise en vente sur le darkweb par un groupe non identifié.
Dans un communiqué publié fin mars, la Mutuelle Familiale a elle aussi indiqué avoir été « victime d’un incident de cybersécurité ». Plus de 113 000 assurés pourraient être concernés, « des investigations sont en cours afin de déterminer la nature des données potentiellement concernées ».
Enfin, le 11 avril, Cerballiance, réseau de 700 laboratoires d’analyses médicale en France, a signalé avoir été victime fin mars d’une cyberattaque ayant entraîné « un accès non autorisé à certaines données personnelles » de « certains de ses patients », comme l’état civil, les identifiants de connexion à l’espace patient, des comptes-rendus d’analyses médicales et le numéro de sécurité sociale. La fuite s’est « produit sur un serveur hébergé par son prestataire informatique » indique le groupe. 2,5 millions de données seraient concernées selon Clement Domingo.
La santé, 3e secteur le plus exposé aux cyberattaques
D’après le panorama annuel de la cybermenace publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) le 11 mars, le secteur de la santé a été en 2025 le troisième domaine le plus touché par des incidents de cybersécurité, après l’éducation et la recherche (34 %) et les ministères des collectivités territoriales (24 %), ce qui confirme la tendance des années précédentes (cf. Multiplication des cyberattaques contre les établissements de santé). 10 % des 1 366 incidents relevés par l’ANSSI ont eu lieu dans ce secteur.
L’agence indique en outre que les rançongiciels ont fortement impacté le secteur sanitaire et médico-social, celui-ci ayant subi 8 % des 128 compromissions signalées. Une proportion « de nouveau en hausse » relève l’agence qui précise que « plusieurs centres hospitaliers ont subi des perturbations de leurs activités d’accueil et de traitement de patients. Les petites structures de santé telles que les Ehpad et les cliniques sont également affectées par ce type d’incident » (cf. Données de santé : l’hôpital de Cannes visé par une cyberattaque).
« Les cyberattaques contre les hôpitaux restent à un niveau élevé » souligne également Jean-Christophe Zerbini, directeur général de l’Agence du Numérique en santé (ANS). En 2025, 764 incidents ont été signalés à l’agence. Un nombre en légère hausse par rapport aux deux années précédentes, et qui « représente un quadruplement par rapport à 2020 ». Les attaques par rançongociel ont en revanche diminué, passant de 40 alertes en 2024 à 28 en 2025. « 582 structures ont aussi fait l’objet d’alertes relatives à des vulnérabilités exposées ou des identifiants compromis » précise l’ANS.
Plus d’un quart des établissements de santé consacrent moins de 1% de leur budget informatique à la cybersécurité
Une enquête nationale réalisée, à la demande de l’ANS, par le cabinet Occurrence (Ifop), auprès de 719 directeurs d’établissements de santé indique que 15 % d’entre eux ont été confrontés à un incident ayant entraîné des perturbations au cours des trois dernières années. Parmi eux, 32 % ont déclaré être « insuffisamment préparés », et seuls 15 % estiment avoir été bien préparés à ce risque. La même proportion s’observe parmi les établissements n’ayant pas été touchés par un incident cyber, uniquement 13 % s’estimant bien préparés. Au vu de ces chiffres, l’ANS souligne que les établissements doivent « renforcer la prévention, la détection et la capacité de réaction ».
L’enquête relève également que six établissements sur dix consacrent moins de 5% de leur budget informatique à la cybersécurité, et plus d’un quart, moins de 1%. 42% des directeurs estiment ainsi ne pas avoir « les moyens nécessaires pour un plan de prévention adapté ».
Sources de la synthèse de presse : La Croix et AFP (27/02/2026) ; l’Express (12/03/2026); Libération, Christian Lehmann (02/03/2026); le Quotidien du médecin, Arnaud Janin (16/03/2026) ; TIC Santé (23/03/2026) ; Hospimedia, Manuel Magrez (26/03/2026) ; Argus de l’assurance, Maxime François (20/03/2026) ; Solutions numériques (07/04/2026) ; What’s up doc (06/04/2026 et 13/04/2026)
