MesVaccins.net : carnets de vaccination et NIR exposés chez Syadem
Syadem, éditeur de MesVaccins.net, confirme une intrusion signalée le 15 juin 2026 : e-mail, état civil, NIR et données vaccinales de tous les titulaires d'un carnet numérique potentiellement copiés.
- Organisation
- MesVaccins.net / Syadem
- Secteur
- Santé
- Pays
- France
- Date des faits
- Intrusion signalée à Syadem le 15 juin 2026 ; révélation publique par la presse spécialisée du 23 au 25 juin 2026. Incident associé signalé le 22 juin 2026 sur la plateforme d'autorisations parentales de vaccination scolaire du même éditeur
- Ampleur
- Tous les titulaires d'un carnet de vaccination numérique potentiellement concernés selon Syadem (aucun décompte officiel ; la plateforme revendique plus de 3 millions de carnets créés, chiffre d'usage qui ne vaut pas décompte de victimes). Volume exclu du compteur cumulé faute de chiffre confirmé.
- Vecteur
- Accès non autorisé aux systèmes de Syadem par un tiers, avec copie de données ; vecteur précis non communiqué. Les mesures de remédiation annoncées (reconstruction complète de l'infrastructure de production, sécurisation des accès au dépôt de code) suggèrent une compromission touchant l'environnement de développement, sans confirmation officielle
- Données exposées
- Adresses e-mail (identifiants de compte), Numéros de téléphone, Données d'état civil, Adresses postales, Numéro de Sécurité sociale (NIR) si renseigné, Données vaccinales, Informations de profil santé stockées sous forme codée, Données d'enfants et de représentants légaux via la plateforme de vaccination scolaire (identité, coordonnées, NIR de l'enfant, régime d'assurance maladie), incident associé confirmé par plusieurs ARS
Syadem, éditeur bordelais de la plateforme de carnet de vaccination numérique MesVaccins.net, a été informée le 15 juin 2026 qu’un tiers non autorisé avait accédé à ses systèmes et obtenu une copie de données personnelles. L’entreprise l’a confirmé dans un communiqué publié sur son support et par courriel à ses utilisateurs, la presse spécialisée relayant l’incident entre le 23 et le 25 juin 2026. Faute de pouvoir identifier avec certitude les personnes touchées, Syadem considère par précaution que l’ensemble des titulaires d’un carnet de vaccination numérique est potentiellement concerné.
Les données exposées comprennent les adresses e-mail, les numéros de téléphone, l’état civil, les adresses postales et le numéro de Sécurité sociale lorsqu’il avait été renseigné. Les données vaccinales et certaines informations de profil santé, stockées « sous forme codée », ont également pu être copiées, sans que Syadem précise si ce codage désigne un chiffrement ou une simple pseudonymisation, distinction pourtant décisive pour le risque résiduel. Les mots de passe, stockés chiffrés, ne seraient pas concernés. Aucune revendication publique ni diffusion de données sur des canaux cybercriminels n’a été observée à ce stade, et aucun décompte officiel de victimes n’a été communiqué : la plateforme revendique plus de 3 millions de carnets créés, mais ce chiffre d’usage ne vaut pas décompte de personnes affectées.
Un second volet touche le même éditeur : plusieurs Agences régionales de santé (PACA, Auvergne-Rhône-Alpes, Hauts-de-France, Pays de la Loire) ont confirmé officiellement un incident sur la plateforme de recueil des autorisations parentales utilisée pour les campagnes de vaccination scolaire (HPV, méningocoque ACWY), dont Syadem est le sous-traitant. Les données exposées concernent des enfants et leurs représentants légaux : identité, coordonnées, numéro de Sécurité sociale de l’enfant, régime d’assurance maladie et données vaccinales codées. Cet épisode a été signalé aux ARS le 22 juin 2026, une semaine après l’intrusion notifiée à Syadem, et les communications officielles des ARS n’établissent pas de lien explicite avec l’incident MesVaccins.net : il peut s’agir de la même compromission notifiée à des publics différents ou d’une atteinte distincte visant un autre produit de l’éditeur. La fiche sera précisée si ce point est clarifié.
Syadem a notifié la CNIL conformément au RGPD, déposé plainte auprès des autorités compétentes et engagé une remédiation d’ampleur : isolement des environnements touchés, reconstruction complète de l’infrastructure de production, renforcement de l’authentification, sécurisation des accès au dépôt de code et audits de sécurité. Compte tenu de la nature des données (santé, NIR, population incluant des mineurs), le principal risque porte sur l’hameçonnage ciblé : les utilisateurs doivent se méfier des courriels invitant à changer de mot de passe ou évoquant un rappel vaccinal, et privilégier un accès direct au site officiel.
Sources
- Incident de sécurité (15 juin 2026) · communiqué officiel Syadem (support MesVaccins.net)
- MesVaccins.net touché par un vol de données, tous les utilisateurs potentiellement concernés (Next.ink)
- Fuite de données chez MesVaccins.net : tous les carnets de vaccination exposés (Clubic)
- MesVaccins : des données de santé et numéros de sécurité sociale exposés après une cyberattaque (Cyberattaque.org)
- Syadem touché par une cyberattaque : des données vaccinales d'enfants potentiellement exposées (Blog FrenchBreaches)
- Incident de sécurité concernant la plateforme de recueil des autorisations parentales des campagnes de vaccination (ARS PACA, communiqué officiel)
- Vaccination au collège : une fuite de données pourrait concerner des milliers de familles (L'Observateur, Hauts-de-France)