Nos données personnelles sont précieuses. Les fuites n’ont pourtant jamais été aussi nombreuses en France, l’un des pays les plus touchés par les cyberattaques, selon les experts. Chaque semaine, de nouvelles bases sont compromises, exposant l’identité de millions de personnes : usagers de services publics, clients de banques, adhérents d’associations sportives, etc. Les fuites sont si massives que l’on peut légitimement se demander si nos informations (nom, date de naissance, adresse, téléphone…) ne sont pas toutes déjà dans la nature.

Qu’en est-il des données de santé ?

Plus sensibles, elles bénéficient d’une protection renforcée. De plus, elles sont moins ciblées par les cybercriminels qui privilégient les données personnelles liées à vos identité et contacts, plus faciles à exploiter pour des arnaques telles que le hameçonnage ou l’usurpation d’identité – plutôt que le chantage aux données médicales, qui a aujourd’hui très peu cours.

Pour autant, le domaine de la santé n’est pas épargné, comme le rappelle l’enquête diffusée par France 2 ce 26 février, concernant une fuite de données issues de Cegedim, un important éditeur de logiciels médicaux. Selon le média public, les données de 15 millions de patients, pas moins, sont exposées sur le « dark-web » et ont été mises en vente suite à une intrusion informatique, survenue fin 2025 et depuis circonscrite, alors que l’enquête en cours devra en évaluer l’impact réel. Trop tard malheureusement pour les patients des 1 500 médecins identifiés par l’entreprise comme compromis.

Ce qui fait de cette fuite un cas particulier, c’est que, cette fois, des données médicales font bien partie du lot. Si le contenu du dossier médical (ordonnances, résultats d’examen, etc.) n’est pas concerné, les commentaires et/ou annotations des médecins sur les fiches de leurs patients ont été divulguées. Différentes sources qui ont eu accès aux données le confirment, on y retrouve des commentaires sur des diagnostics – « porteuse du SIDA !!! !!!! » –, mais aussi sur l’orientation sexuelle – « serait homosexuelle d’après sa mère » – ou encore sur la religion de patients – « mère musulmane voilée » !

Secret médical et confiance des patients bafoués

De telles données ultrasensibles n’ont absolument pas leur place dans les commentaires enregistrés par ces médecins, tant du point de vue de la protection des informations des patients que de leur caractère potentiellement discriminatoire. « Le vrai sujet, c’est pourquoi des informations de cette nature-là se trouvaient dans la partie « administrative » des dossiers patients. Les médecins ne sont pas assez sensibilisés et formés, alors qu’ils en sont responsables », confirme Didier Ambroise organisateur du CyberCamp Santé en mars 2025, à Paris.

Dans la même veine, l’information individuelle des patients, dont sont également responsables les médecins touchés, concernant la fuite de ces données reste insatisfaisante, comme l’a révélé une précédente cyberattaque dont l’éditeur Weda a fait l’objet. Ce défaut d’information est encore plus préoccupant dans le cas de Cegedim, dans la mesure où les patients n’ont aucun moyen de savoir ce que contenait les éventuels commentaires écrits dans leur dossier et, donc, la nature des informations divulguées. Cet enjeu de la transparence est fondamental pour France Assos Santé, qui en a fait son cheval de bataille : elle est un vecteur de confiance, en général, et, en particulier, pour aider les victimes d’un piratage de leurs données à identifier les risques réels qu’elles encourent, une préoccupation souvent inexistante au sein de l’écosystème.

Sécuriser toute la chaîne des données

Alors que les éditeurs de logiciels médicaux ont bénéficié ces dernières années de subventions publiques, dans le cadre du « Ségur du numérique », notamment pour muscler leur protection des données, chacun doit prendre ses responsabilités face à l’urgence de la situation française qui semble hors-norme. « Il faut une sécurisation de toute la chaîne des données, depuis la conception des logiciels jusqu’aux usages des professionnels libéraux. Le programme ministériel CaRE a permis de faire bouger les choses dans les hôpitaux, mais pour ce qui est de la médecine de ville, il reste énormément à faire », souligne Didier Ambroise.

Cette « affaire Cegedim » provoquera-t-elle un électrochoc auprès des acteurs et décideurs ? Selon plusieurs sources, des personnalités politiques de premier plan seraient concernées par cette fuite. De quoi susciter un sursaut salutaire ?