Fuite massive de données : 11 millions de personnes concernées

Fuite massive de données : 11 millions de personnes concernées
Actualité


Selon les révélations de France 2 (26 février 2026), une base de données en libre accès exposerait des informations médicales extrêmement sensibles : pathologies, éléments de dossiers médicaux détaillés, mentions relatives à l’orientation sexuelle, à la religion ou à la situation familiale.

Le hackeur à l’origine de la divulgation affirme que la société concernée serait Cegedim, acteur majeur des logiciels médicaux en France.
D’après une estimation de la CNIL citée dans le reportage, l’entreprise équiperait environ 25 000 cabinets médicaux et 500 centres de santé.


Ce que cela pose juridiquement

Nous ne sommes pas face à une simple fuite de données.

Il s’agit de données de santé, donc de catégories particulières de données au sens de l’article 9 du RGPD, bénéficiant du plus haut niveau de protection.

Plusieurs enjeux majeurs émergent :

  • Sécurité des systèmes (article 32 RGPD)
  • Notification de violation à l’autorité de contrôle (article 33)
  • Information des personnes concernées (article 34)
  • Responsabilité partagée éditeur / professionnels de santé
  • Encadrement des sous-traitants et audits de sécurité

Si les chiffres avancés sont confirmés, il s’agirait de l’une des plus importantes violations de données de santé en France.


Un point souvent oublié

Ce type d’incident rappelle une réalité :

La conformité RGPD dans le secteur de la santé ne repose pas uniquement sur les cabinets ou établissements.
Elle dépend fortement :

  • des éditeurs de logiciels métiers
  • des infrastructures d’hébergement
  • de la gestion des accès
  • et de la maturité cyber globale de l’écosystème


Lorsque des données médicales détaillées circulent librement sur le dark web :

  • le risque n’est pas seulement financier
  • il est réputationnel
  • politique
  • et potentiellement sécuritaire

Dans un contexte où la cybersécurité du secteur santé est déjà sous tension, cette affaire pourrait marquer un tournant.

Si vous accompagnez des acteurs de santé :

  • c’est le moment de vérifier vos clauses sous-traitants
  • vos procédures de gestion des violations
  • vos audits de sécurité applicative

La conformité ne se décrète pas.
Elle se teste. Elle se documente. Elle se prouve.

Retour aux actualités
Partager l'article

Articles similaires

Le Conseil d’État dit non à Microsoft pour l’hébergement des données de santé
Actualité

Le Conseil d’État dit non à Microsoft pour l’hébergement des données de santé

Lire la suite
RGPD et concurrence déloyale : ce que vous devez savoir
Actualité Article RGPD

RGPD et concurrence déloyale : ce que vous devez savoir

Respecter le RGPD (Règlement Général sur la Protection des Données) n’est pas une mince affaire. La conformité requiert des investissements économiques et humains considérables, et certains peuvent être tentés de contourner ces règles pour obtenir un avantage concurrentiel. Mais que se passe-t-il si un concurrent profite de son non-respect du RGPD pour proposer des prix plus attractifs ? Peut-on contester cette pratique pour concurrence déloyale ? La réponse de la CJUE est claire : oui !
Lire la suite