Le 12 mars 2026, un cybercriminel a mis en vente une base de données contenant les informations de 813 866 utilisateurs de la plateforme française Médoucine. Noms, emails, téléphones et historiques de consultations figurent dans les données exposées. Médoucine a confirmé l'incident le jour même. Que dit la loi ? Quels sont vos droits ? Voici ce qu'il faut savoir et faire si vous êtes concerné.
Fuite de données Médoucine : ce qu'il faut retenir et comment réagir
La plateforme française Médoucine — qui met en relation patients et praticiens en médecines douces — a été victime d'une fuite de données confirmée le 12 mars 2026. Un cybercriminel revendique la vente d'une base contenant les informations de 813 866 personnes, dont environ 6 500 praticiens, incluant noms, prénoms, adresses email, numéros de téléphone et historiques de réservations de consultations. Le RGPD impose à Médoucine de notifier la CNIL sous 72 heures et d'informer les personnes concernées si le risque est élevé. Les victimes peuvent exercer leur droit d'accès, déposer un signalement auprès de la CNIL et engager une action en réparation — y compris pour préjudice moral, sans avoir à prouver de fraude concrète.
Le piratage Médoucine : faits et chronologie
Médoucine est une plateforme française qui met en relation des utilisateurs avec des praticiens en médecines douces et thérapies alternatives — naturopathie, acupuncture, sophrologie, méditation, réflexologie. Le service permet de rechercher des praticiens certifiés et de réserver des consultations en ligne.
Chronologie de l'incident
12 mars 2026 (matin) — Un acteur malveillant publie sur un forum cybercriminel une annonce proposant à la vente une base de données contenant les informations de 813 866 utilisateurs de Médoucine. La publication est accompagnée de captures d'écran et d'extraits de données au format JSON censés prouver l'authenticité de la fuite.
12 mars 2026 (dans la journée) — L'expert en cybersécurité SaxX (@seblatombe) confirme publiquement la fuite et en détaille le contenu. Le site de veille FrenchBreaches classe l'incident comme fuite revendiquée avec présence de données personnelles et de santé indirectes.
12 mars 2026 — Médoucine confirme l'incident. L'origine exacte de la fuite — date du vol, vecteur d'attaque, identité du groupe responsable — n'a pas encore été établie publiquement.
Les chiffres clés
| Élément |
Chiffre / Information |
| Personnes concernées | 813 866 |
| Dont praticiens inscrits | ~6 500 |
| Adresses email uniques | 653 982 |
| Numéros de téléphone uniques | 804 983 |
| Adresses email gouvernementales (.gouv.fr) | 70 |
| Date de revendication publique | 12 mars 2026 |
| Confirmation par Médoucine | 12 mars 2026 |
| Statut | Confirmée |
Personnes concernées
813 866
Dont praticiens inscrits
~6 500
Adresses email uniques
653 982
Numéros de téléphone uniques
804 983
Adresses email gouvernementales (.gouv.fr)
70
Date de revendication publique
12 mars 2026
Confirmation par Médoucine
12 mars 2026
Statut
Confirmée
🚨 À retenir : La fuite Médoucine concerne 813 866 utilisateurs — patients et praticiens confondus. Les données exposées incluent nom, prénom, adresse email, numéro de téléphone et historique de réservations de consultations. Le fait qu'un utilisateur ait consulté des praticiens en médecines douces constitue une donnée de santé indirecte au sens du RGPD, susceptible de renforcer les droits à indemnisation. Médoucine a confirmé l'incident. Si vous êtes inscrit sur la plateforme, des démarches de protection sont nécessaires dès maintenant.
Nature des données exposées
Les extraits publiés sur le forum montrent des champs structurés au format JSON contenant les données suivantes pour chaque utilisateur :
- Identité : nom, prénom
- Contact : adresse email, numéro de téléphone
- Activité sur la plateforme : nombre ou historique de réservations de consultations
| Catégorie |
Données exposées |
Personnes concernées |
Risque principal |
| Données d'identité et de contact |
Nom, prénom, email, téléphone |
813 866 |
Phishing ciblé, usurpation d'identité |
| Données d'activité (santé indirecte) |
Historique de réservations / consultations |
813 866 |
Ingénierie sociale, profilage, arnaque ciblée |
| Adresses institutionnelles |
70 adresses .gouv.fr |
70 |
Hameçonnage institutionnel, espionnage |
Données d'identité et de contact
Données : Nom, prénom, email, téléphone
Personnes : 813 866
Risque : Phishing ciblé, usurpation d'identité
Données d'activité (santé indirecte)
Données : Historique de réservations / consultations
Personnes : 813 866
Risque : Ingénierie sociale, profilage, arnaque ciblée
Adresses institutionnelles
Données : 70 adresses .gouv.fr
Personnes : 70
Risque : Hameçonnage institutionnel, espionnage
Le cas particulier du champ "historique de consultations"
La présence d'un historique de réservations dans les données exposées mérite une attention particulière. Savoir qu'une personne a consulté un naturopathe, un sophrologue ou un acupuncteur peut constituer une donnée de santé indirecte au sens du RGPD — notamment si ce type de consultation est associé à une pathologie, à un état de stress ou à une situation personnelle identifiable. Cette qualification renforce les droits des personnes concernées à obtenir réparation, même en l'absence de données médicales explicites.
👉 Comment savoir exactement quelles données me concernent dans cette fuite ?
Vous pouvez exercer votre droit d'accès (article 15 RGPD) auprès de Médoucine par courrier recommandé avec accusé de réception adressé à leur délégué à la protection des données (DPO). Médoucine est tenu de vous répondre dans un délai d'un mois en vous indiquant précisément quelles données vous concernant ont été traitées — et, si la fuite est confirmée, lesquelles ont été exposées.
Les risques concrets pour les personnes concernées
Une base combinant nom, prénom, email, téléphone et historique de consultations crée un profil exploitable à plusieurs fins malveillantes :
Pour les 813 000 utilisateurs dont les données de contact ont été exposées :
- Phishing ultra-ciblé : les cybercriminels peuvent se faire passer pour Médoucine, un praticien ou une mutuelle en utilisant votre nom et vos coordonnées pour personnaliser leurs messages avec une précision troublante
- Arnaques par SMS ou email : avec 804 983 numéros uniques et 653 982 adresses email, les campagnes automatisées à grande échelle sont immédiates et massives
- Usurpation d'identité : la combinaison nom + prénom + email + téléphone constitue un profil suffisant pour initier des démarches frauduleuses (ouverture de comptes, souscription de crédit)
- Ingénierie sociale : la connaissance de vos consultations chez des praticiens en médecines douces peut être utilisée pour construire des messages d'arnaque crédibles liés à votre parcours de santé
Pour les 70 titulaires d'adresses .gouv.fr :
- Hameçonnage institutionnel : leur présence dans la base ouvre la voie à des tentatives de phishing ciblant des agents ou fonctionnaires, avec un risque accru d'exploitation à des fins d'espionnage ou de compromission de systèmes publics
Les cybercriminels utilisent fréquemment des bases de données issues de plateformes de santé ou de bien-être pour construire des arnaques particulièrement crédibles : un message mentionnant votre nom, votre praticien habituel et un "remboursement de consultation" sera beaucoup plus convaincant qu'un spam générique. La vigilance doit être maximale dans les semaines suivant la fuite.
Ce que dit le RGPD : obligations de Médoucine et vos droits
Les obligations de Médoucine susceptibles d'engager sa responsabilité
En tant que responsable de traitement, Médoucine est soumise à plusieurs obligations dont la violation éventuelle peut fonder une action en indemnisation :
Obligation de sécurité (article 32 RGPD) : Médoucine était tenu de mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données de ses utilisateurs. L'ampleur de la fuite — plus de 800 000 personnes — posera directement la question de l'adéquation de ces mesures de sécurité.
Notification à la CNIL sous 72 heures (article 33 RGPD) : dès lors qu'il existe un risque pour les droits et libertés des personnes, Médoucine doit notifier la CNIL dans les 72 heures suivant la découverte de l'incident. Le non-respect de ce délai constitue un manquement supplémentaire pouvant alourdir les sanctions.
Information des personnes concernées (article 34 RGPD) : lorsque la violation est susceptible d'engendrer un risque élevé pour les droits des personnes, Médoucine est tenu de les informer directement "dans les meilleurs délais". La présence de données de santé indirectes et de coordonnées complètes place cet incident dans cette catégorie.
La CNIL peut imposer à Médoucine d'informer directement les personnes concernées si elle constate que cette obligation n'a pas été respectée. Les sanctions prévues par le RGPD en cas de manquement peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise. Par ailleurs, être victime d'une cyberattaque n'exonère pas le responsable de traitement de ses obligations RGPD — la CNIL évalue les mesures de sécurité préalablement mises en place.
Votre droit à indemnisation : l'article 82 RGPD
La jurisprudence européenne et française est établie : la simple perte de contrôle sur ses données personnelles constitue un préjudice moral indemnisable, sans qu'il soit nécessaire de prouver une fraude ou un dommage concret (CJUE, 14 décembre 2023, Natsionalna agentsia).
Les indemnisations accordées par les tribunaux français varient généralement entre 500 € et 1 500 € par personne pour des données administratives standards. Si le champ "historique de réservations" est qualifié de donnée de santé indirecte, cette fourchette est susceptible d'être revue à la hausse — en particulier si la victime peut démontrer un impact concret sur sa vie privée ou professionnelle.
👉 Puis-je obtenir une indemnisation sans avoir subi de fraude concrète après la fuite Médoucine ?
Oui. Sur le fondement de l'article 82 RGPD, la perte de contrôle sur vos données personnelles suffit à caractériser un préjudice moral indemnisable (CJUE, 14 décembre 2023). Les tribunaux accordent généralement entre 500 € et 1 500 € par personne pour des données de contact standards. Il n'est pas nécessaire d'attendre d'être victime d'une arnaque pour agir. Une consultation auprès d'un avocat spécialisé en droit du numérique permet d'évaluer votre situation et les procédures collectives éventuellement en cours.
👉 Médoucine peut-il être sanctionné même s'il est lui-même victime du piratage ?
Oui. Le fait d'être victime d'une cyberattaque n'exonère pas le responsable de traitement de ses obligations au titre du RGPD. La CNIL évalue la gravité de l'incident, les mesures de sécurité préalablement mises en place, la réactivité de l'entreprise et les actions correctives engagées. Si des failles de sécurité préexistantes sont identifiées, la responsabilité de Médoucine est engagée au titre des articles 32 et 34 du RGPD.
Démarches pas à pas : se protéger et obtenir réparation
Étape 1 — Vérifiez si votre adresse email est compromise
Utilisez le widget ci-dessous pour vérifier si votre adresse email apparaît dans des fuites de données connues, dont la fuite Médoucine.
Étape 2 — Changez vos mots de passe immédiatement
Modifiez le mot de passe associé à l'adresse email utilisée lors de votre inscription sur Médoucine, ainsi que sur tout service utilisant le même mot de passe. Activez la double authentification sur vos comptes bancaires et messagerie principale.
Étape 3 — Exercez vos droits auprès de Médoucine
Adressez un courrier recommandé avec accusé de réception au DPO de Médoucine pour exercer votre droit d'accès (article 15 RGPD) — liste exacte des données vous concernant exposées dans la fuite — et votre droit à l'effacement (article 17 RGPD) si votre relation avec la plateforme est terminée. Médoucine est tenu de vous répondre dans un délai d'un mois.
Étape 4 — Signalez à la CNIL
Déposez un signalement sur signal.cnil.fr. La CNIL peut prononcer des sanctions et contraindre Médoucine à prendre des mesures correctives. Ce signalement constitue également un élément de preuve utile si vous engagez une action en indemnisation.
Étape 5 — Renforcez votre vigilance face aux tentatives de phishing
Ne cliquez sur aucun lien suspect dans un email ou SMS mentionnant Médoucine, un praticien ou un "remboursement de consultation". Vérifiez toujours l'adresse de l'expéditeur et connectez-vous directement sur le site officiel. Signalez toute tentative de fraude sur Cybermalveillance.gouv.fr.
Étape 6 — Déposez plainte si vous subissez une fraude
En cas d'usurpation d'identité, d'utilisation frauduleuse de vos données ou de tentative de chantage, conservez toutes les preuves (captures d'écran, messages, relevés) et déposez plainte au commissariat ou à la gendarmerie, ou par courrier au procureur de la République.
Étape 7 — Consultez un avocat pour obtenir réparation
Si vous souhaitez engager une action en indemnisation sur le fondement de l'article 82 RGPD, consultez un avocat spécialisé en droit du numérique. Des actions collectives sont susceptibles d'être initiées — un avocat peut vous informer des procédures en cours et évaluer votre situation personnelle.
Widget : mon adresse email a-t-elle été compromise ?
Mon adresse email a-t-elle été compromise ?
Entrez votre adresse ci-dessous pour vérifier si elle apparaît dans une fuite de données connue.
Veuillez saisir une adresse email valide.
Récapitulatif : droits des victimes et obligations de Médoucine
| Obligation / Droit |
Qui |
Détails |
| Notification CNIL | Médoucine | Sous 72 heures (article 33 RGPD) |
| Information des personnes | Médoucine | Si risque élevé — ici très probable (article 34 RGPD) |
| Sécurité des données | Médoucine | Mesures techniques et organisationnelles adéquates (article 32 RGPD) |
| Droit d'accès | Victime | Demander si vos données sont concernées (article 15 RGPD) |
| Droit à l'effacement | Victime | Demander la suppression de vos données (article 17 RGPD) |
| Signalement CNIL | Victime | En ligne sur signal.cnil.fr |
| Action en réparation | Victime | Préjudice moral indemnisable — 500 € à 1 500 € (article 82 RGPD) |
| Dépôt de plainte pénale | Victime | En cas d'utilisation frauduleuse des données |
Notification CNIL
Médoucine — Sous 72 heures (article 33 RGPD)
Information des personnes
Médoucine — Si risque élevé (article 34 RGPD)
Sécurité des données
Médoucine — Mesures adéquates (article 32 RGPD)
Droit d'accès
Victime — Article 15 RGPD
Droit à l'effacement
Victime — Article 17 RGPD
Signalement CNIL
Victime — signal.cnil.fr
Action en réparation
Victime — 500 € à 1 500 € (article 82 RGPD)
Dépôt de plainte pénale
Victime — En cas de fraude avérée
Conclusion
La fuite Médoucine illustre une fois de plus la vulnérabilité des plateformes de santé numérique face aux cyberattaques. Avec plus de 813 000 personnes concernées, des données de contact complètes exposées et un historique de consultations susceptible de constituer une donnée de santé indirecte, le risque de phishing ciblé, d'usurpation d'identité et d'arnaque est immédiat. N'attendez pas d'être victime d'une fraude pour agir : vérifiez votre exposition, exercez vos droits auprès de Médoucine et signalez l'incident à la CNIL.
Information générale — pas un conseil juridique
Cet article est fourni à titre informatif et ne remplace pas un accompagnement juridique personnalisé. Pour toute situation engageant votre responsabilité, consultez un professionnel du droit.
Vous êtes inscrit sur Médoucine et souhaitez être orienté vers un avocat spécialisé en droit du numérique ? Décrivez votre situation pour être mis en relation avec un avocat.
Blogs
.png)
