Vol massif : 15 millions de dossiers médicaux français piratés, découvrez les données compromises

Une vaste cyberattaque a compromis les données personnelles de 15 millions d’assurés français. Parmi les informations dérobées figurent l’état civil, la date de naissance et le numéro de sécurité sociale, suscitant de vives inquiétudes sur la protection des données médicales.

Une cyberattaque sans précédent dans la santé

La récente cyberattaque visant le logiciel de gestion médicale de la société Cegedim Santé bouleverse le secteur français de la santé numérique. Selon les chiffres communiqués vendredi par le ministère de la Santé, ce sont les « données administratives » de près de 15 millions de Français qui se sont retrouvées compromises, accompagnées parfois de commentaires saisis librement par leur médecin traitant. La fuite s’étend sur « 19 millions de lignes informatiques », englobant un historique remontant jusqu’à quinze ans selon l’ancienneté des installations.

Des informations sensibles en circulation

Au-delà des simples identités, numéros de téléphone ou adresses postales, l’incident concerne également des annotations personnelles pour environ 169 000 patients. Si, comme l’a souligné le ministère lors d’un point presse, il ne s’agit « pas des documents de santé – ni ordonnances, ni résultats d’examens biologiques », certaines informations divulguées restent hautement sensibles : orientation sexuelle ou pathologies telles que le VIH. Le média France 2, à l’origine des révélations, évoque même la présence de données relatives à plusieurs responsables politiques.

Qui est responsable ?

Les réactions n’ont pas tardé. Le ministère a expressément demandé à Cegedim Santé, acteur majeur du traitement des données médicales en France, d’appliquer « immédiatement des mesures correctives après cette cyberattaque ». Une plainte a été déposée dès le 27 octobre 2025 et une enquête pénale est désormais ouverte pour « atteintes à un système automatisé de données ». De son côté, la société insiste : il ne s’agirait pas d’une attaque sur les dossiers médicaux structurés, mais seulement sur les données administratives et certaines annotations libres.

Parmi les points majeurs à retenir :

• Cegedim Santé a déjà écopé d’une amende record (800 000 €) en septembre 2024 pour traitement non autorisé de données de santé.
• L’incident est attribué au groupe de hackers DumpSec, sans que leur identité soit établie à ce jour.
• Gérôme Billois, expert chez Wavestone, souligne qu’un tel piratage pourrait représenter « la plus grosse fuite dans la santé française » avec des conséquences potentiellement « irrémédiables ».

Pistes et zones d’ombre persistantes

Difficile encore d’évaluer précisément l’ampleur réelle du préjudice. La Cnil, tout juste alertée, promet une analyse approfondie et n’exclut pas des contrôles ultérieurs. Un sous-investissement chronique dans la cybersécurité du secteur médical français est ici pointé du doigt – une faiblesse structurelle désormais exposée au grand jour.

Pour les patients comme pour leurs médecins – dont nombre témoignent aujourd’hui d’un sentiment d’insécurité croissant –, cet épisode interroge à nouveau sur la solidité des protections entourant les précieuses données de santé des Français.