En février 2026, la France a été frappée par la plus grave fuite de données médicales jamais documentée sur son territoire. Le piratage du logiciel MonLogicielMedical (MLM) de Cegedim Santé, révélé au 20h de France 2 le 26 février, a exposé les données personnelles de jusqu'à 15 millions de patients. Pour environ 169 000 d'entre eux, des annotations médicales intimes — séropositivité, orientation sexuelle, addictions, traumatismes — figuraient dans les données volées et circulent désormais sur le dark web. Si vous avez consulté un médecin généraliste en France au cours des 15 dernières années, vous êtes peut-être concerné. Cet article vous explique ce qui s'est passé, ce que vous risquez concrètement, et comment agir pour vous protéger et obtenir réparation.
Comment réagir si vos données médicales figurent dans la fuite Cegedim ? Quels droits et recours pour les patients concernés ?
Le piratage du logiciel médical Cegedim / MonLogicielMedical de février 2026 est la plus massive fuite de données de santé jamais documentée en France : jusqu'à 15 millions de patients concernés, dont 169 000 dont les données incluent des informations médicales sensibles. Vous disposez de droits forts garantis par le RGPD, notamment le droit à indemnisation prévu à l'article 82 RGPD — sans avoir à prouver de fraude concrète. Priorité absolue : vérifier si votre médecin est parmi les 1 500 concernés, contacter Cegedim pour connaître les données exposées, déposer un signalement à la CNIL sur signal.cnil.fr, et consulter un avocat spécialisé si des données sensibles vous concernent.
Le piratage Cegedim MLM : ce qui s'est passé
Chronologie d'un silence de 4 mois
La cyberattaque a débuté le 25 octobre 2025. Cegedim dépose plainte auprès du parquet de Paris le 27 octobre 2025, déclenchant l'ouverture d'une enquête le 3 novembre. Les 1 500 médecins concernés ne sont notifiés qu'en janvier 2026 — par un email arrivé dans les spams pour beaucoup d'entre eux. Les patients, eux, n'ont toujours pas été directement informés lorsque France 2 révèle l'affaire au grand public le 26 février 2026, soit 4 mois après les faits.
Ce délai est susceptible de constituer une violation caractérisée de l'article 34 du RGPD, qui impose d'informer les personnes concernées "dans les meilleurs délais" lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits. Des données de santé sensibles constituent indiscutablement un tel risque — et l'absence de notification directe aux patients renforce considérablement la crédibilité d'une action en responsabilité.
Les chiffres clés
| Élément |
Chiffre / Information |
| Patients potentiellement concernés |
11 à 15 millions |
| Médecins utilisateurs du logiciel MLM |
3 800 |
| Médecins touchés par l'attaque |
1 500 |
| Lignes de données extraites |
19 millions (dont 4 millions de doublons) |
| Historique couvert |
Jusqu'à 15 ans |
| Patients avec annotations sensibles exposées |
169 000 (environ 1 %) |
| Date de la cyberattaque |
25 octobre 2025 |
| Date de révélation publique |
26 février 2026 (France 2, 20h) |
| Amende CNIL antérieure (confirmée CE) |
800 000 € |
Patients potentiellement concernés
11 à 15 millions
Médecins utilisateurs du logiciel MLM
3 800
Médecins touchés par l'attaque
1 500
Lignes de données extraites
19 millions (dont 4 millions de doublons)
Historique couvert
Jusqu'à 15 ans
Patients avec annotations sensibles exposées
169 000 (environ 1 %)
Date de la cyberattaque
25 octobre 2025
Date de révélation publique
26 février 2026 (France 2, 20h)
Amende CNIL antérieure (confirmée CE)
800 000 €
🚨 À retenir : Le piratage Cegedim MLM est la plus grave fuite de données médicales jamais documentée en France. Jusqu'à 15 millions de patients sont concernés, dont 169 000 dont des annotations médicales sensibles (séropositivité, orientation sexuelle, addictions, traumatismes) ont été exposées. Cegedim a déposé plainte le 27 octobre 2025 mais n'a pas informé directement les patients pendant 4 mois — un manquement potentiellement caractérisé à l'article 34 du RGPD. Le groupe DumpSec revendique l'attaque. Une enquête du parquet de Paris est ouverte. Les victimes disposent d'un droit à indemnisation sur le fondement de l'article 82 RGPD, sans avoir à prouver de fraude avérée.
Nature des données exposées : comprendre ce qui a vraiment fuité
Les données administratives (tous les patients concernés)
Pour l'ensemble des 15 millions de patients potentiellement touchés :
- Nom, prénom, sexe, date de naissance
- Numéro de téléphone, adresse postale, adresse email
- Commentaire administratif en texte libre saisi par le médecin
Le point critique : le champ texte libre
C'est ici que réside la gravité particulière et unique de cette fuite. Le chercheur en cybersécurité SaxX (Clément Domingo) a analysé un échantillon de plus de 22 millions d'entrées et documenté des annotations d'une sensibilité extrême :
- « porteuse sida !!! !!! »
- « serait homosexuelle d'après sa mère »
- « mère musulmane voilée »
- « catholique non pratiquante car ses 2 frères sont suicidés »
- « viol incestueux »
Ces annotations constituent des données de catégorie spéciale au sens de l'article 9 du RGPD — c'est-à-dire la catégorie de données bénéficiant de la protection la plus élevée en droit européen. Leur exposition ne se compare pas à une fuite de coordonnées bancaires : le préjudice potentiel est durable, intime, et peut affecter la vie professionnelle, sociale et familiale des victimes pour des années.
| Catégorie |
Données exposées |
Personnes concernées |
Risque principal |
| Données administratives |
Nom, prénom, sexe, date de naissance, téléphone, adresse, email |
Jusqu'à 15 millions |
Usurpation d'identité, phishing ciblé |
| Annotations médicales sensibles (catégorie spéciale art. 9 RGPD) |
Séropositivité, orientation sexuelle, addictions, traumatismes, convictions religieuses… |
169 000 (environ 1 %) |
Chantage, discrimination, stigmatisation durable |
Données administratives
Données : Nom, prénom, sexe, date de naissance, téléphone, adresse, email
Personnes concernées : Jusqu'à 15 millions
Risque : Usurpation d'identité, phishing ciblé
Annotations médicales sensibles (catégorie spéciale art. 9 RGPD)
Données : Séropositivité, orientation sexuelle, addictions, traumatismes, convictions religieuses…
Personnes concernées : 169 000 (environ 1 %)
Risque : Chantage, discrimination, stigmatisation durable
Ce que vous ne pouvez pas savoir sans agir
Les patients n'ont aucun moyen de savoir ce que leur médecin avait inscrit dans le champ texte libre de leur dossier. Seule une démarche active auprès du médecin ou de Cegedim permet de le découvrir. La base de données couvrant jusqu'à 15 ans d'historique, même des patients n'ayant pas consulté récemment peuvent être concernés.
👉 Comment savoir si mon médecin est parmi les 1 500 concernés et si mes données sensibles ont été exposées ?
Contactez directement votre médecin et demandez-lui s'il utilise ou utilisait le logiciel MonLogicielMedical (MLM) de Cegedim Santé. S'il est concerné, demandez-lui ce que contenait votre fiche dans le champ texte libre — c'est le seul moyen de savoir si des données sensibles vous concernant figurent dans les données volées. Vous pouvez également exercer votre droit d'accès (article 15 RGPD) directement auprès de Cegedim par courrier recommandé.
Mon adresse email a-t-elle été compromise ?
Entrez votre adresse ci-dessous pour vérifier si elle apparaît dans une fuite de données connue.
Veuillez saisir une adresse email valide.
Les risques concrets selon votre profil
Pour les 15 millions de patients dont les données administratives ont été exposées :
- Usurpation d'identité : nom + prénom + date de naissance + adresse = profil complet exploitable immédiatement
- Phishing ultra-ciblé : les cybercriminels peuvent se faire passer pour votre médecin, votre mutuelle ou la CNIL avec des informations précises vous concernant
- Vente sur le dark web : chaque dossier médical complet peut valoir entre 250 et 1 000 dollars sur les marchés cybercriminels
Pour les 169 000 patients dont des annotations sensibles ont été exposées :
- Chantage : exploitation des informations les plus intimes (séropositivité, orientation sexuelle, addictions)
- Stigmatisation professionnelle ou sociale : divulgation à l'entourage, à l'employeur, à la famille
- Discrimination : exploitation des données religieuses, ethniques ou relatives à l'état de santé
- Préjudice psychologique durable : la simple conscience que ces informations circulent constitue en soi un préjudice indemnisable
Le cadre juridique : responsabilité de Cegedim et vos droits
Les manquements de Cegedim susceptibles d'engager sa responsabilité
Plusieurs éléments constituent des violations potentielles du RGPD de nature à fonder une action en indemnisation :
Défaut de sécurité (article 32 RGPD) : Cegedim était tenu de mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données. L'ampleur de la fuite — 19 millions de lignes extraites — suggère une défaillance structurelle. Ce n'est pas le premier manquement : la CNIL avait déjà sanctionné Cegedim d'une amende de 800 000 euros en septembre 2024 pour traitement illicite de données de santé, confirmée par le Conseil d'État le 13 février 2026 — soit 13 jours avant la révélation publique de la fuite.
Délai de notification (articles 33 et 34 RGPD) : l'incident a été détecté fin octobre 2025. Les médecins n'ont été notifiés qu'en janvier 2026. Les patients n'ont toujours pas été directement informés. L'article 34 impose une notification "dans les meilleurs délais" pour les violations à risque élevé — et des données de santé sensibles constituent indiscutablement un risque élevé.
Responsabilité aggravée pour données de catégorie spéciale : l'article 9 du RGPD impose un niveau de protection renforcé pour les données de santé, d'orientation sexuelle, de religion, d'origine ethnique. Leur exposition constitue une violation particulièrement grave dont la réparation peut être supérieure aux cas standard.
La CNIL avait déjà sanctionné Cegedim Santé d'une amende de 800 000 euros en septembre 2024 pour traitement illicite de données de santé, confirmée par le Conseil d'État le 13 février 2026 — soit 13 jours avant la révélation publique de la fuite MLM. Ces antécédents établissent un contexte de manquements répétés à la protection des données de santé, élément aggravant pour toute action en responsabilité civile engagée par les victimes.
Votre droit à indemnisation : l'article 82 RGPD
La jurisprudence française est établie : la simple perte de contrôle sur ses données personnelles constitue un préjudice moral indemnisable, sans qu'il soit nécessaire de prouver une fraude ou un dommage concret (CJUE, 14 décembre 2023, Natsionalna agentsia).
Les indemnisations accordées par les tribunaux français varient généralement entre 500 € et 3 000 € par personne pour des données administratives standards. Pour les 169 000 patients dont des données de catégorie spéciale ont été exposées, le préjudice est d'une gravité nettement supérieure et justifie une indemnisation bien au-delà de cette fourchette standard — d'autant plus si la victime peut démontrer un préjudice concret (chantage, stigmatisation, préjudice psychologique documenté).
👉 Puis-je obtenir une indemnisation sans avoir subi de fraude concrète après le piratage Cegedim ?
Oui. La jurisprudence européenne et française reconnaît que la simple perte de contrôle sur ses données personnelles constitue un préjudice moral indemnisable sur le fondement de l'article 82 RGPD (CJUE, 14 décembre 2023). Les tribunaux accordent généralement entre 500 € et 3 000 € par personne pour des données standards. Pour les patients dont des données de catégorie spéciale (santé, orientation sexuelle, religion) ont été exposées, le préjudice est nettement supérieur. La consultation d'un avocat spécialisé permet d'évaluer précisément votre situation et les procédures collectives éventuellement en cours.
Démarches pas à pas : se protéger et obtenir réparation
Étape 1 — Vérifiez si votre médecin est concerné
Contactez directement votre médecin et demandez-lui s'il utilise ou utilisait le logiciel MonLogicielMedical (MLM) de Cegedim Santé. S'il est parmi les 1 500 médecins touchés, demandez-lui ce que contenait votre fiche dans le champ texte libre — c'est le seul moyen de savoir si des données sensibles vous concernant ont été exposées.
Étape 2 — Exercez vos droits auprès de Cegedim
Adressez un courrier recommandé avec accusé de réception au DPO (délégué à la protection des données) de Cegedim Santé pour exercer votre droit d'accès (article 15 RGPD) — liste exacte de vos données exposées — et votre droit à l'effacement (article 17 RGPD) si le traitement n'est plus justifié. Cegedim est tenu de répondre dans un délai d'un mois.
Étape 3 — Signalez à la CNIL
Déposez un signalement sur signal.cnil.fr. La CNIL peut prononcer des sanctions allant jusqu'à 4 % du chiffre d'affaires mondial de Cegedim et contraindre l'entreprise à indemniser les victimes ou à prendre des mesures correctives.
Étape 4 — Sécurisez vos comptes immédiatement
- Changez vos mots de passe sur tous les services utilisant le même email que celui communiqué à votre médecin
- Activez la double authentification sur vos comptes bancaires et messagerie
- Vérifiez si votre adresse email est compromise sur haveibeenpwned.com
- Signalez toute tentative de contact suspect sur Cybermalveillance.gouv.fr
Étape 5 — Portez plainte si vous subissez une fraude ou un chantage
En cas d'usurpation d'identité, tentative de chantage ou utilisation frauduleuse de vos données, déposez plainte immédiatement auprès de la police ou de la gendarmerie. Conservez toutes les preuves (emails, captures d'écran, relevés).
Étape 6 — Consultez un avocat pour obtenir réparation
Si des données sensibles vous concernent ou si vous subissez un préjudice, consultez un avocat spécialisé en droit du numérique ou en dommage corporel. Une action individuelle sur le fondement de l'article 82 RGPD est possible. Des actions collectives sont susceptibles d'être initiées — un avocat peut vous informer des procédures en cours et évaluer votre situation.
Le parquet de Paris a ouvert une enquête pour atteintes à un système automatisé de données à la suite de la plainte déposée par Cegedim le 27 octobre 2025. Le ministère de la Santé a mis en demeure Cegedim de rendre des comptes et d'apporter des garanties correctives. Ces procédures en cours constituent des éléments de preuve précieux pour les victimes souhaitant engager une action en indemnisation.
Cegedim : un antécédent CNIL qui aggrave sa responsabilité
L'affaire s'inscrit dans un contexte de manquements répétés. La CNIL avait sanctionné Cegedim Santé d'une amende de 800 000 euros en septembre 2024 pour avoir traité sans autorisation des données de santé non anonymisées de millions de patients (affaire Crossway). Le Conseil d'État a confirmé cette sanction le 13 février 2026 — treize jours avant la révélation de la fuite MLM. Cette récidive dans les manquements à la protection des données de santé constitue un élément aggravant pour toute action en responsabilité engagée par les victimes.
Par ailleurs, des salariés de Cegedim ont reçu des courriels d'extorsion revendiquant la cyberattaque, illustrant la pression exercée sur l'entreprise. Un ancien membre du groupe DumpSec aurait décidé de revendre une partie des données volées sur des marchés du dark web — un mode opératoire qui maximise l'exposition des victimes dans le temps et rend la maîtrise de la diffusion quasi impossible.
Un ancien membre du groupe DumpSec aurait décidé de revendre une partie des données volées sur des marchés du dark web — un mode opératoire qui maximise l'exposition des victimes dans le temps. Chaque dossier médical complet peut valoir entre 250 et 1 000 dollars sur les marchés cybercriminels, rendant la maîtrise de la diffusion quasi impossible une fois les données mises en circulation.
Conclusion
Le piratage Cegedim MLM est sans précédent dans l'histoire de la cybersécurité médicale en France. Avec jusqu'à 15 millions de patients concernés, 169 000 dont des informations médicales intimes ont été exposées, et un silence de 4 mois de l'éditeur, les conditions d'une responsabilité civile caractérisée sont réunies. N'attendez pas d'être victime d'une fraude pour agir : vérifiez votre situation, exercez vos droits et consultez un professionnel si vous figurez parmi les personnes les plus exposées.
Blogs
.png)
.png)
