Un piratage du logiciel MLM (MonLogicielMedical) de Cegedim a permis à un hacker de collecter les données médicales de 11 à 15 millions de Français. Ceux-ci sont accessibles sur le dark web.
France 2 noté après avoir consulté une base de données comprenant les dossiers médicaux de millions de Français et certains éléments sont très précis selon les patients. Par exemple, les professionnels de la santé ont indiqué « Porteur du sida !!!!!!! » dans le dossier d'un patient. Mentionné « serait homosexuel selon sa mère », « mère musulmane voilée » ou même « catholique non pratiquante car ses 2 frères se sont suicidés » font partie des éléments présents.
De plus, des personnalités politiques éminentes sont également présentes dans cette base de données. Il s’agit notamment de candidats potentiels à la présidentielle, de hauts fonctionnaires et de responsables de la sécurité nationale.
Le hacker affirme avoir signalé son action à Cegedim, tout en assurant que l'entreprise ne lui a pas répondu. France 2 a également contacté l'entreprise et celle-ci n'a pas répondu aux sollicitations.
Un piratage de dossiers médicaux lié à Cegedim
Depuis, Cegedim a publié un communiqué de presse confirmant le piratage des données médicales de millions de Français. Le groupe déclare :
Cegedim Santé, filiale du Groupe Cegedim dédiée à l'édition de logiciels à destination des professionnels de santé, a identifié, fin 2025, des comportements anormaux de demandes d'inscription sur les comptes médecins utilisant le logiciel MLM (MonLogicielMedical.com).
Le logiciel MLM est utilisé par 3 800 médecins en France, dont 1 500 ont été concernés par cette attaque. Tous les médecins concernés ont été contactés début janvier et accompagnés, s'ils le souhaitaient, par des équipes dédiées, dans leurs démarches de déclaration à la CNIL et d'information de leurs patients conformément à leurs obligations de responsable de traitement au sens du RGPD.
Dès la détection de l’incident fin 2025, toutes les mesures nécessaires ont été prises pour faire face à cet incident qui a été contenu.
L'entreprise indique avoir signalé le piratage à la CNIL, comme la loi l'exige, et déposé plainte auprès du procureur de la République.
« Les informations concernées proviennent exclusivement du dossier administratif du patient »précise Cegedim. Le groupe mentionne les données suivantes : nom, prénom, sexe, date de naissance, numéro de téléphone, adresse, adresse e-mail et « commentaire administratif en texte libre à la discrétion des médecins ».
Enfin, Cegedim affirme que le hacker n'a pas tenté de prendre contact pour signaler le piratage des données de santé.
