Fuite de données Cegedim : 15 millions de patients exposés par le piratage de MonLogicielMedical

Le 26 février 2026, une enquête diffusée au journal de 20h de France 2 révélait au grand public une violation de données d’une ampleur inédite : le logiciel médical MonLogicielMedical.com (MLM), édité par Cegedim Santé, avait été piraté, exposant les informations de 11 à 15 millions de patients français. Selon la ministre de la Santé, près de 15 millions de personnes seraient concernées, ce qui en ferait l’une des plus graves fuites de données médicales jamais documentées en France.

Au-delà du choc des chiffres, cette affaire concentre toutes les fragilités de l’écosystème numérique de santé : la dépendance à un sous-traitant unique, la difficulté à sécuriser des données ultra-sensibles, et le délai de plusieurs mois entre la découverte de l’incident et l’information effective des personnes concernées. Et statistiquement, avec près d’un Français sur cinq potentiellement concerné, il y a de fortes chances que vous connaissiez quelqu’un dans cette base, voire que vous y figuriez.

Décryptons ensemble la chronologie des faits, l’anatomie des données exposées, les responsabilités juridiques en jeu et les enseignements concrets que toute organisation manipulant des données sensibles doit en tirer.

Important : Les chiffres et qualifications présentés ici reflètent l’état des informations publiques et des communications officielles au moment de la rédaction. L’enquête judiciaire et l’instruction de la CNIL étant en cours, certains éléments restent susceptibles d’évoluer.

Chronologie de l’incident

Une détection silencieuse fin 2025

Tout commence à la fin de l’année 2025, lorsque Cegedim Santé identifie un comportement anormal de requêtes applicatives sur les comptes de médecins utilisant le logiciel MLM. Ces requêtes suspectes auraient permis à un ou plusieurs cybercriminels d’accéder aux données et de les extraire illégalement.

Le 27 octobre 2025, Cegedim dépose plainte. Le parquet de Paris ouvre une enquête pour « atteinte à un système de traitement automatisé de données » (STAD), l’infraction pénale qui sanctionne l’accès et le maintien frauduleux dans un système informatique.

L’information progressive des médecins et des patients

Début janvier 2026, l’ensemble des médecins concernés sont contactés par l’éditeur, accompagnés dans leurs obligations de notification et d’information des patients au titre du RGPD. Sur les quelque 3 800 médecins utilisant MLM en France, près de 1 500 seraient touchés par l’intrusion.

La révélation médiatique du 26 février 2026

C’est une enquête de France Télévisions, diffusée le 26 février 2026, qui porte l’affaire sur la place publique. Les journalistes affirment qu’une base de données serait accessible sur le dark web, exposant des informations issues de consultations médicales concernant « entre 11 et 15 millions » de personnes.

Le lendemain, le ministère de la Santé confirme l’ampleur de la fuite et adresse à Cegedim une mise en demeure de s’expliquer et d’apporter des garanties correctives. Entre l’intrusion et la révélation télévisée, près de quatre mois se seront écoulés : un laps de temps pendant lequel des millions de Français ignoraient que leurs données circulaient potentiellement hors de tout contrôle.

Anatomie des données exposées

Toutes les données n’ont pas la même sensibilité, et c’est précisément ce qui rend cette affaire complexe à évaluer.

Des données administratives massivement exposées

Le socle de la fuite concerne des données administratives : nom, prénom, adresse postale, adresse e-mail, numéro de téléphone et date de naissance. À l’échelle de 15 millions de personnes, cette seule exposition constitue déjà une matière première idéale pour des campagnes de phishing ciblé et d’usurpation d’identité.

Des données sensibles en nombre plus restreint

Selon les communications officielles, environ 164 000 personnes présenteraient un risque sur des données sensibles. Les dossiers médicaux structurés seraient, eux, restés intacts.

Le point d’attention se déplace alors vers les champs de texte libre du logiciel. De nombreux praticiens y consignaient des informations particulièrement sensibles : pathologies, traitements en cours, orientation sexuelle, addictions ou état psychologique. Ces zones de saisie libre, par nature peu structurées, échappent souvent aux dispositifs de classification et de protection automatisés, ce qui en fait un angle mort récurrent de la sécurité des données.

Les données de santé figurent parmi les catégories particulières de données protégées par l’article 9 du RGPD : leur traitement est par principe interdit, sauf exceptions strictement encadrées.

La question centrale : qui est responsable ?

Cette affaire illustre parfaitement la chaîne de responsabilité instaurée par le RGPD entre responsable de traitement et sous-traitant.

Chaque médecin, en sa qualité de praticien, est responsable de traitement des données de ses patients. Cegedim Santé, qui édite et héberge le logiciel utilisé pour traiter ces données, agit comme sous-traitant au sens de l’article 28 du RGPD.

Or l’article 28 impose au sous-traitant de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Lorsqu’une violation survient chez le sous-traitant, le responsable de traitement reste tenu de ses propres obligations (notamment la notification), mais la responsabilité du sous-traitant peut également être engagée.

Cette répartition n’est pas théorique : la CNIL alerte régulièrement sur le fait que les sous-traitants se trouvent désormais au cœur des fuites de données. La concentration d’un grand nombre de responsables de traitement (ici, des milliers de médecins) chez un prestataire unique transforme ce dernier en cible de très haute valeur. Une seule brèche chez l’éditeur expose l’intégralité des cabinets qui lui font confiance.

Quand des milliers de praticiens confient leurs patients au même logiciel, la cible n’est plus un cabinet : c’est un pays.

Un précédent qui éclaire l’affaire

L’affaire MLM ne survient pas dans un vide. Le 5 septembre 2024, la CNIL avait déjà sanctionné Cegedim Santé d’une amende de 800 000 euros.

Le motif : l’entreprise avait traité des données de santé non anonymisées (mais seulement pseudonymisées) sans autorisation préalable, notamment via un « observatoire » proposant aux médecins de partager des données à des fins d’études et de statistiques. La CNIL avait retenu deux manquements majeurs :

• Article 66 de la loi Informatique et Libertés : absence d’autorisation pour un traitement de données de santé constitutif d’un entrepôt de données.
• Article 5.1.a du RGPD : traitement non licite, via l’aspiration automatique de données sans consentement explicite.

Selon les analyses publiées, cette sanction a été confirmée par le Conseil d’État le 13 février 2026, soit treize jours seulement avant la révélation publique de la fuite MLM. Une concordance de calendrier qui, sans établir de lien causal, souligne la nécessité d’une vigilance structurelle sur la gouvernance des données de santé.

Risques concrets pour les personnes concernées

La compromission de données de santé, même partielle, expose les victimes à des risques spécifiques et durables.

Fraude et usurpation d’identité

La combinaison nom + adresse + téléphone + date de naissance constitue un kit complet pour l’usurpation d’identité administrative : ouverture de comptes, souscriptions frauduleuses, ou contournement de procédures de vérification.

Phishing et ingénierie sociale ciblés

Connaître le médecin traitant, voire une pathologie, permet de concevoir des messages d’hameçonnage d’une crédibilité redoutable. Un faux courrier prétendant émaner d’un cabinet médical ou de l’Assurance maladie devient très difficile à distinguer d’une communication légitime.

Vol d’identité médicale

Plus rare mais plus grave, le vol d’identité médicale permet à un tiers d’utiliser l’identité de la victime pour obtenir des soins ou des médicaments. Le risque ? Voir des informations erronées s’intégrer à son propre parcours de soins, avec des conséquences potentielles sur la prise en charge.

Obligations légales : ce que le RGPD impose

Cette affaire active plusieurs obligations clés du règlement européen.

Notification de la violation (articles 33 et 34)

L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de données personnelles à la CNIL dans un délai de 72 heures après en avoir pris connaissance. Lorsque la violation présente un risque élevé pour les droits et libertés des personnes (ce qui est manifestement le cas pour des données de santé), l’article 34 impose en outre d’informer les personnes concernées dans les meilleurs délais.

Le délai de quatre mois entre la détection de l’incident et l’information du public soulève précisément la question de l’effectivité de cette obligation d’information.

Le statut renforcé des données de santé

En tant que données sensibles (article 9 du RGPD), les données de santé bénéficient d’une protection renforcée et leur violation est traitée avec une sévérité accrue par les autorités de contrôle. C’est notamment pourquoi le ministère de la Santé est intervenu en parallèle de la CNIL.

Actions concrètes pour les patients potentiellement concernés

Les réflexes prioritaires :

• Confirmer l’information à la source : ne jamais cliquer sur un lien reçu par e-mail ou SMS prétendant concerner la fuite. Vérifier directement auprès de son médecin ou sur le site officiel de l’éditeur.
• Redoubler de vigilance face au phishing : tout message exploitant le contexte médical (Assurance maladie, mutuelle, cabinet) doit être considéré avec prudence.
• Surveiller ses comptes : relevés bancaires, compte ameli et relevés de prestations, pour détecter toute activité anormale.
• Signaler les abus : la plateforme cybermalveillance.gouv.fr assiste les particuliers victimes.
• Exercer ses droits RGPD : droit d’accès et droit à l’information auprès du médecin (responsable de traitement) pour connaître précisément les données concernées.

Actions concrètes pour les organisations qui externalisent

Au-delà des patients, cette affaire est un signal d’alarme pour toute entreprise qui confie des données sensibles à un prestataire.

Les actions prioritaires :

• Auditer ses sous-traitants : exiger des garanties documentées (article 28), des certifications et des preuves concrètes de sécurité, pas de simples déclarations d’intention.
• Cartographier la dépendance : identifier les prestataires dont la compromission exposerait l’essentiel de vos traitements, et limiter ces points de défaillance unique.
• Encadrer les champs de texte libre : sensibiliser les utilisateurs et, lorsque c’est possible, structurer la saisie pour éviter l’accumulation incontrôlée de données sensibles.
• Préparer son plan de réponse : disposer en amont d’une procédure de notification (72 h) et de communication de crise, pour ne pas découvrir ses obligations au pire moment.
• Anticiper la conformité 2026 : entre les exigences de la directive NIS2 et celles du Cyber Resilience Act, le niveau d’exigence réglementaire monte rapidement pour les acteurs critiques.

Besoin d’accompagnement pour sécuriser vos données et fiabiliser vos relations avec vos sous-traitants ? Découvrez nos services pour une approche personnalisée.

Enseignements : la sécurité ne s’externalise pas

L’affaire Cegedim / MLM est un cas d’école à plusieurs titres. Elle rappelle d’abord qu’externaliser un traitement ne signifie jamais externaliser la responsabilité : le donneur d’ordre reste comptable de la protection des données qu’il confie. Elle illustre ensuite le risque systémique que représentent les plateformes mutualisées dans la santé numérique, où la compromission d’un acteur central se propage instantanément à des milliers d’autres.

Enfin, elle met en lumière une faille trop souvent négligée : les données non structurées. Les champs libres, les notes et les pièces jointes échappent fréquemment aux politiques de classification, alors qu’ils concentrent parfois les informations les plus sensibles. La gouvernance des données ne peut se limiter aux bases bien rangées ; elle doit embrasser l’ensemble du cycle de vie de l’information.

📚 Sources et références ▼

Sources officielles

• CNIL - Données de santé : sanction de 800 000 euros à l'encontre de Cegedim Santé (5 septembre 2024)
• CNIL - Notifier une violation de données personnelles
• cybermalveillance.gouv.fr - Assistance aux victimes

Couverture médias et analyses

• franceinfo - Le ministère de la Santé confirme la fuite des données de 15 millions de Français
• France Assos Santé - Des millions de patients concernés après le piratage de Cegedim
• Caducée - Incident MLM chez Cegedim : anatomie d'une fuite de 11 à 15 millions de dossiers patients
• August Debouzy - Le secret médical à l'épreuve des cyberattaques : le cas Cegedim Santé

Réglementation et conformité

• RGPD - Articles 33 et 34 sur la notification des violations de données
• RGPD - Article 28 : encadrement de la sous-traitance