🔥 Les essentiels de cette actualité
- Entre 11 et 15 millions de Français ont vu leurs données médicales les plus intimes — traumatismes, troubles psychiatriques, orientations sexuelles — déversées sur le dark web à cause d’une négligence stupéfiante de l’éditeur Cegedim.
- La faille en cause ? L’absence de la double authentification, une protection basique qu’un adolescent active en quelques secondes sur ses réseaux sociaux, mais que Cegedim n’avait tout simplement jamais mise en place pour garder des millions de dossiers médicaux.
- Cegedim avait déclaré à la CNIL en octobre ne concerner que deux professionnels de santé touchés : il a fallu attendre janvier pour que l’entreprise reconnaisse 1 500 médecins compromis, révélant une incapacité troublante à maîtriser ses propres systèmes.
- Face au scandale, le gouvernement a convoqué l’éditeur à Bercy et l’a « invité » à renforcer sa sécurité — mais aucune sanction réelle ne semble envisagée pour une négligence aux conséquences irréversibles pour des millions de personnes.
La négligence impardonnable de ceux qui gardent nos secrets les plus intimes
Onze à quinze millions de Français. C’est le nombre de personnes dont les données médicales les plus intimes circulent désormais sur le dark web, à la merci de quiconque souhaite les exploiter. Des traumatismes, des violences sexuelles, des troubles psychiatriques, des orientations sexuelles : tout ce qu’un patient confie à son médecin dans le secret du cabinet se retrouve désormais exposé au monde entier. Et la cause de ce désastre ? L’absence d’une mesure de sécurité élémentaire que n’importe quel utilisateur applique désormais à son compte Gmail.
L’éditeur Cegedim, gardien de ces données sensibles via son logiciel MonLogicielMedical.com, n’avait pas mis en place la double authentification. Cette protection basique, que 80 % des internautes utilisent selon Cisco, cette barrière devenue standard sur la quasi-totalité des services en ligne, n’existait tout simplement pas pour protéger les dossiers médicaux de millions de nos concitoyens. Les pirates n’ont eu qu’à utiliser des identifiants volés à des médecins pour accéder à l’ensemble du système.
On reste sidéré devant une telle légèreté. Comment une entreprise spécialisée dans les logiciels médicaux, dont le cœur de métier consiste précisément à manipuler les informations les plus confidentielles qui soient, peut-elle négliger à ce point les fondamentaux de la cybersécurité ? La question mérite d’être posée avec fermeté, car elle touche à ce que nous avons de plus personnel.
Un État qui découvre le problème après coup
Face à ce scandale, le gouvernement a réagi. La ministre de la Santé Stéphanie Rist et la ministre déléguée au Numérique Anne Le Hénanff ont convoqué Cegedim à Bercy afin d’« obtenir des clarifications complètes sur l’incident de cybersécurité ». L’éditeur a été invité à « renforcer immédiatement sa cybersécurité » et à « accélérer sa mise en conformité » avec les directives européennes NIS 2 et le Cyber Resilience Act.
Cette réaction ministérielle, pour nécessaire qu’elle soit, arrive après la bataille. On demande à l’entreprise de se mettre en conformité avec des directives européennes et de déployer enfin une authentification multifactorielle. Mais le mal est fait. Les données sont dans la nature et aucune réunion à Bercy ne les fera disparaître des serveurs où elles sont désormais stockées.
Plus troublant encore, on apprend que la déclaration initiale de Cegedim à la CNIL, en octobre, ne mentionnait que deux professionnels de santé concernés. Il a fallu attendre janvier pour que l’entreprise révise son estimation à 1 500 professionnels sur 3 800 utilisateurs. Cette communication par étapes, cette découverte progressive de l’ampleur des dégâts, interroge sur la capacité même de l’éditeur à maîtriser ses propres systèmes.
L’entreprise tente de minimiser en précisant que les données exposées sont « surtout administratives ». Certes. Mais elle reconnaît tout de même que 169 000 données comportent des informations sensibles, ces fameux commentaires médicaux où les praticiens consignent ce que leurs patients leur confient. Peut-on décemment qualifier cela de détail ?
Ce qui frappe dans cette affaire, c’est la répétition d’un même schéma. L’article le souligne : c’est « la même négligence inouïe qui est à l’origine du piratage du ministère de l’Intérieur » survenu fin 2025. Le ministère de l’Intérieur lui-même, garant de la sécurité des Français, a été victime d’une faille que la double authentification aurait pu prévenir. La coïncidence cesse d’en être une : elle révèle une culture de l’impréparation qui traverse aussi bien le secteur privé que l’appareil d’État.
On peut s’interroger sur les contrôles exercés en amont. Cegedim opère depuis des années dans le secteur de la santé. Ses logiciels équipent des milliers de cabinets médicaux. À aucun moment aucune autorité n’a vérifié que les mesures de protection élémentaires étaient en place ? Le RGPD impose pourtant des obligations strictes aux responsables de traitement de données personnelles, et plus strictes encore pour les données de santé, qualifiées de « sensibles » par le règlement.
L’invocation des directives européennes NIS 2 et Cyber Resilience Act comme solution d’avenir laisse un goût amer. Ces textes, aussi nécessaires soient-ils, ne sont que des cadres normatifs. Leur efficacité dépend entièrement de leur application concrète et des sanctions en cas de manquement. Or, que risque réellement Cegedim ? L’entreprise a été « invitée » à renforcer sa sécurité. Elle a été « convoquée » pour des « clarifications ». Le vocabulaire employé traduit une approche bien peu coercitive face à une négligence aux conséquences potentiellement dévastatrices pour des millions de personnes.
Ne nous y trompons pas : ces données, une fois volées, le restent. Elles pourront servir à des chantages individuels, à des usurpations d’identité, à des discriminations à l’embauche ou à l’assurance. Des personnes verront peut-être ressurgir dans leur vie professionnelle ou personnelle des informations qu’elles croyaient protégées par le secret médical. Le préjudice est irréversible.
La confiance que les Français accordent à leur système de santé repose sur cette certitude : ce qu’ils confient à leur médecin restera entre ces quatre murs. Cette confiance vient d’être gravement entamée. Non par une attaque sophistiquée contre laquelle nul ne pouvait se prémunir, mais par l’absence d’une protection que tout adolescent active sur son compte de réseau social.
La souveraineté numérique dont on nous parle tant dans les discours officiels commence par là : la capacité à protéger les données de nos concitoyens avec au moins autant de rigueur que les géants américains protègent celles de leurs utilisateurs. Quand un éditeur français se montre incapable d’appliquer les standards minimaux de sécurité, c’est toute la crédibilité de notre écosystème numérique national qui s’effondre.
Les Français méritent mieux que des excuses après coup et des promesses de mise en conformité. Ils méritent que ceux à qui ils confient leurs données les plus intimes soient tenus à une obligation de moyens réelle, contrôlée et sanctionnée. Sans quoi la prochaine fuite n’est qu’une question de temps.
IMPORTANT - À lire
Données médicales volées, ministère de l'Intérieur piraté : la même négligence, encore et encore. Notre revue papier mensuelle décrypte ces failles systémiques que les médias survolent.
Chaque mois, une analyse approfondie des dérives numériques, géopolitiques et institutionnelles qui menacent concrètement votre vie. Abonnez-vous à la revue papier →
