Comme cela a été révélé par France 2, jeudi 26 février, des données de santé concernant des patients français ont été dérobées au groupe Cegedim, éditeur de logiciels pour professionnels de santé. Cependant, un certain flou demeure quant à l’ampleur de ce piratage.
Qu’est-ce qui a été piraté ?
Il s’agit d’un logiciel destiné aux médecins, Mon logiciel médical (MLM), utilisé, selon Cegedim, par 3 800 clients en France. L’entreprise dit avoir « identifié, à la fin de 2025, un comportement anormal » sur ce logiciel, et constaté que « des données personnelles de patients du parc logiciel MLM [avaient] été consultées ou extraites illégalement. » L’entreprise affirme avoir alors sécurisé les accès, porté plainte et signalé la fuite de données à la Commission nationale de l’informatique et des libertés (CNIL).
Les données volées sont avant tout administratives et permettent de savoir qui est patient de quel médecin. On y trouve une quantité importante de numéros de téléphone et d’adresses email de patients, mais les dossiers médicaux eux-mêmes n’y figurent pas.
France 2 explique avoir également trouvé, dans les données, des informations très personnelles sur plusieurs patients, comme le fait qu’ils soient homosexuels, aient un parent en prison, ou encore qu’ils soient atteints du sida. D’après Cegedim, des informations de ce type ont pu être inscrites, « pour un nombre très limité de patients ».
Il s’agit d’« annotations personnelles du médecin concernant des informations sensibles. » Le Monde a pu confirmer qu’un échantillon des données, mis en ligne par l’un des pirates, contenait des données administratives sur près de 300 000 patients, mais que seule une toute petite partie d’entre elles comportait des informations médicales ou privées.
Combien de personnes sont concernées ?
Il n’est pas possible, à l’heure où nous publions cet article, d’évaluer le nombre de personnes dont les données personnelles ont été dérobées. Sur le forum de discussions où lesdites données ont été proposées à la vente, le pirate affirme que le fichier contient celles de 19 millions de patients, mais seulement « 150 000 adresses email uniques », tandis que France 2 estime qu’« entre 11 [millions] et 15 millions de personnes » seraient concernées. Cegedim, de son côté, affirme que 1 500 médecins utilisant MLM sont concernés par cette attaque, ce qui impliquerait un nombre de patients touchés bien inférieur.
Il vous reste 50.42% de cet article à lire. La suite est réservée aux abonnés.
