Fuite Cegedim — Février 2026

Effacez vos données chez Cegedim Santé
15 millions de patients, 164 000 dossiers avec notes médicales libres.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie
Sources confirmées (presse + base spécialisée)
France 24 · 15M patients franceinfo · enquête Le Quotidien du Médecin · MG France saisit What's Up Doc · dossiers médicaux L'Usine Digitale · gouvernance

Tous les chiffres affichés ci-dessus (15 millions de patients, 1 500 médecins compromis, 164 000 dossiers avec notes en texte libre) sont confirmés par ces 5 sources et par les saisines simultanées de MG France et de la CNIL.

⚖️ Demande RGPD — Articles 17 et 21
Supprimez vos données chez Cegedim Santé
Renseignez l'identité utilisée par votre médecin chez Cegedim. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.
L'adresse que vous avez communiquée à votre médecin lors de votre prise en charge. C'est elle qui sera citée dans la demande au DPO Cegedim.
Optionnel mais accélère le rapprochement côté Cegedim : votre dossier MLM est rattaché au compte de votre médecin, pas au vôtre directement.

En cliquant « Envoyer la demande », vous autorisez Sheeldy à transmettre en votre nom à Cegedim Santé une demande de suppression de vos données personnelles (article 17 RGPD) et d'opposition au traitement (article 21 RGPD), rédigée à la première personne comme si vous l'écriviez. Vous serez mis en copie de l'email envoyé à dpo@cegedim.com.

Cegedim Santé : votre médecin a-t-il écrit quelque chose dans la case "commentaires" de votre dossier ?

Cegedim a confirmé le 27 février 2026 une fuite affectant environ 15 millions de patients, conséquence d'une attaque par credential stuffing visant 1 500 médecins utilisateurs du logiciel MLM (MonLogicielMedical). Sur le lot, 164 000 dossiers contiennent des commentaires médicaux saisis en texte libre par le médecin — donc des phrases entières, jamais anonymisées, qui peuvent évoquer absolument n'importe quoi (antécédents psychiatriques, orientation, dépendance, situation familiale…). Si votre médecin généraliste utilise MLM, vous pouvez exiger l'effacement de vos données via l'article 17 du RGPD et vous opposer au traitement via l'article 21. Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel de Cegedim.

Section 01 — Les faits

Ce qu'on sait de la fuite Cegedim Santé

L'incident date d'octobre 2025 mais Cegedim ne l'a rendu public que le 27 février 2026, soit près de quatre mois plus tard. C'est ce délai — bien au-delà des 72 heures imposées par l'article 33 du RGPD pour la notification à la CNIL — qui a déclenché l'enquête conjointe de MG France et de la CNIL et a alimenté une vague de saisines.

Techniquement, il ne s'agit pas d'une faille dans le logiciel MLM lui-même. L'attaque est un credential stuffing : des attaquants ont réutilisé des couples identifiant/mot de passe issus d'autres fuites publiques (LinkedIn, Adobe, etc.) pour se connecter aux comptes de 1 500 médecins qui avaient recyclé le même mot de passe sur MonLogicielMedical. Une fois dans l'interface médecin, ils ont eu accès à l'intégralité des dossiers patients suivis par chacun d'eux. Cegedim est ici sous-traitant technique au sens RGPD ; les médecins restent responsables de traitement.

Patients exposés
~15 M
Dossiers avec notes libres
~164 000
Médecins compromis
1 500
Cause
Credential stuffing

La singularité de cette fuite tient à un détail souvent ignoré du grand public : dans MLM, à côté des champs structurés (codes CIP des médicaments, posologies, codes CIM-10 des pathologies), il existe un champ "commentaires libres" ou "observations" où le médecin saisit du texte non normalisé. C'est ce qu'il note à la volée pendant la consultation : un soupçon, une remarque sur l'humeur, une mention "patient évoque une rupture difficile", "consommation d'alcool évoquée", "antécédent psy non confirmé"… Ces phrases, jamais anonymisées, jamais pseudonymisées, sont aujourd'hui dans la nature pour 164 000 patients français.

Source officielle
France 24 — Données médicales : 15 millions de Français piratés (cyberattaque santé)
Section 02 — Le détail

Quelles données ont fuité ?

Cegedim a publié la liste précise des champs exposés. La quasi-totalité du dossier administratif patient y figure, ainsi que — pour 164 000 personnes — l'intégralité du champ "commentaires libres" du médecin. Les données les plus structurées (ordonnances, codes diagnostiques, données de remboursement) restent protégées car stockées hors MLM.

— Exposées

Identité (nom, prénom, sexe)Identification directe du patient dans MLM
Notes médicales en texte libreChamp "commentaires" / "observations" non structuré, ~164 000 dossiers concernés
Coordonnées (email, téléphone, adresse)Vecteur de phishing ciblé sur thématiques médicales
Date de naissancePermet l'usurpation de prise de rendez-vous et le recoupement avec d'autres fichiers

— Préservées

DMP / Assurance MaladieLe Dossier Médical Partagé est stocké séparément, pas dans MLM
Ordonnances structuréesCodes CIP des médicaments et posologies hors périmètre de la fuite
Données bancairesAucun flux de remboursement passe par MLM
Section 03 — Vos droits

Ce que Sheeldy demande, et ce qu'il faut faire en parallèle avec votre médecin

Sheeldy envoie à Cegedim Santé une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser la portée :

Ce que Cegedim peut faire seul : supprimer les données techniques d'audit et les caches qu'il détient en tant que sous-traitant, notifier les médecins concernés, et confirmer la portée de la fuite vous concernant.

Ce qui exige aussi une démarche auprès de votre médecin : c'est le point clé de cette fuite. Au sens RGPD, le responsable de traitement de votre dossier MLM est votre médecin, pas Cegedim. Pour faire effacer spécifiquement le contenu du champ "commentaires libres" — ce que votre médecin a écrit en texte libre vous concernant — il vous faut adresser une demande parallèle à votre médecin lui-même, fondée sur l'article 17 + l'article 15 (droit d'accès à votre dossier). En pratique : demandez-lui par écrit (lettre ou email) une copie de votre dossier patient complet, puis exigez la suppression des mentions non strictement nécessaires à la continuité des soins. Le médecin a un mois pour répondre.

Cegedim dispose lui aussi d'un mois pour répondre (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL, qui examine déjà le dossier suite aux saisines de MG France et du Quotidien du Médecin.

Remonter au formulaire

Questions fréquentes — Fuite Cegedim Santé

Mon médecin généraliste utilise-t-il MLM / MonLogicielMedical ?
MLM (MonLogicielMedical) est l'un des logiciels les plus répandus chez les médecins libéraux français — environ 35 000 utilisateurs. Pour vérifier, regardez l'écran lors de votre prochaine consultation, ou demandez directement à votre médecin. S'il utilise MLM, demandez-lui aussi s'il fait partie des 1 500 médecins concernés par la fuite (Cegedim a notifié individuellement).
Puis-je demander à mon médecin la liste des commentaires libres me concernant ?
Oui, c'est votre droit absolu via l'article 15 RGPD (droit d'accès). Demandez par écrit à votre médecin une copie complète de votre dossier patient, y compris les champs "commentaires" et "observations". Le médecin doit vous répondre sous 1 mois. Cette démarche est utile pour savoir exactement ce qui a fuité vous concernant — Cegedim ne peut pas vous répondre individuellement car les données sont chez le médecin, pas chez Cegedim directement.
Mon dossier pharmaceutique DMP a-t-il fuité avec ?
Non. Le DMP (Dossier Médical Partagé) géré par l'Assurance Maladie est totalement distinct de MLM. La fuite Cegedim concerne uniquement les dossiers stockés DANS le logiciel MLM utilisé par votre médecin — donc les notes, antécédents et commentaires que votre médecin a saisis lui-même dans le logiciel. Vos ordonnances structurées dans le DMP et vos remboursements Assurance Maladie sont préservés.
Pourquoi Cegedim a-t-il attendu 3 mois pour révéler la fuite ?
C'est l'une des questions soulevées par MG France et la CNIL. L'article 33 RGPD impose une notification à la CNIL dans les 72 heures de la découverte. Cegedim explique que le périmètre exact n'a été établi qu'en février 2026 et que les médecins ont été informés au fur et à mesure. La CNIL examine si cette chronologie respecte les obligations RGPD.
Sheeldy envoie-t-il vraiment la demande à Cegedim ?
Oui. Une fois votre confirmation email validée (double opt-in obligatoire), Sheeldy envoie une demande RGPD au DPO Cegedim (dpo@cegedim.com) invoquant cumulativement les articles 17 (effacement) et 21 (opposition). À noter : pour effacer les commentaires libres saisis par votre médecin spécifiquement, il vous faudra ÉGALEMENT en parler à votre médecin (qui est le responsable de traitement de vos données dans MLM).
Mon médecin est-il responsable juridiquement de la fuite ?
Oui, partiellement. Au sens RGPD, votre médecin est responsable de traitement (il décide ce qu'il saisit dans MLM), et Cegedim est sous-traitant technique. Si votre médecin a utilisé un mot de passe faible ou réutilisé sur d'autres sites (cause du credential stuffing), il porte une part de responsabilité. La CNIL peut sanctionner soit Cegedim, soit les médecins négligents, soit les deux.
Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de Cegedim Santé une demande d'effacement et d'opposition (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : Cegedim Santé (DPO — dpo@cegedim.com) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.