Fuite massive de données : 11 millions de personnes concernées

Fuite massive de données : 11 millions de personnes concernées
Événement


Selon les révélations de France 2 (26 février 2026), une base de données en libre accès exposerait des informations médicales extrêmement sensibles : pathologies, éléments de dossiers médicaux détaillés, mentions relatives à l’orientation sexuelle, à la religion ou à la situation familiale.

Le hackeur à l’origine de la divulgation affirme que la société concernée serait Cegedim, acteur majeur des logiciels médicaux en France.
D’après une estimation de la CNIL citée dans le reportage, l’entreprise équiperait environ 25 000 cabinets médicaux et 500 centres de santé.


Ce que cela pose juridiquement

Nous ne sommes pas face à une simple fuite de données.

Il s’agit de données de santé, donc de catégories particulières de données au sens de l’article 9 du RGPD, bénéficiant du plus haut niveau de protection.

Plusieurs enjeux majeurs émergent :

  • Sécurité des systèmes (article 32 RGPD)
  • Notification de violation à l’autorité de contrôle (article 33)
  • Information des personnes concernées (article 34)
  • Responsabilité partagée éditeur / professionnels de santé
  • Encadrement des sous-traitants et audits de sécurité

Si les chiffres avancés sont confirmés, il s’agirait de l’une des plus importantes violations de données de santé en France.


Un point souvent oublié

Ce type d’incident rappelle une réalité :

La conformité RGPD dans le secteur de la santé ne repose pas uniquement sur les cabinets ou établissements.
Elle dépend fortement :

  • des éditeurs de logiciels métiers
  • des infrastructures d’hébergement
  • de la gestion des accès
  • et de la maturité cyber globale de l’écosystème


Lorsque des données médicales détaillées circulent librement sur le dark web :

  • le risque n’est pas seulement financier
  • il est réputationnel
  • politique
  • et potentiellement sécuritaire

Dans un contexte où la cybersécurité du secteur santé est déjà sous tension, cette affaire pourrait marquer un tournant.

Si vous accompagnez des acteurs de santé :

  • c’est le moment de vérifier vos clauses sous-traitants
  • vos procédures de gestion des violations
  • vos audits de sécurité applicative

La conformité ne se décrète pas.
Elle se teste. Elle se documente. Elle se prouve.

Retour aux actualités
Partager l'article

Articles similaires

CNIL : mises en demeure contre RED by SFR et OVH pour leurs bannières cookies
Événement

CNIL : mises en demeure contre RED by SFR et OVH pour leurs bannières cookies

L’Association Pour Un RGPD Respecté (PURR) a obtenu plusieurs mises en demeure de la CNIL visant des acteurs majeurs du web pour des pratiques non conformes en matière de cookies.
Lire la suite
Omnibus numérique : les autorités européennes rejettent une remise en cause du RGPD
Événement

Omnibus numérique : les autorités européennes rejettent une remise en cause du RGPD

Le 11 février 2026, le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) ont publié un avis conjoint très critique sur le projet de réforme du RGPD et de la directive ePrivacy porté par la Commission européenne dans le cadre du « Digital Omnibus ».
Lire la suite