Effacez vos données chez la Cnam (Mon Espace Santé) —
34,2 millions de Français revendiqués sur le DarkWeb.
Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.
Important : à ce stade, l'attribution de la base au Dossier Médical Partagé est revendiquée par le vendeur mais n'a pas été confirmée techniquement, et aucune communication officielle de la Cnam ou de l'ANS n'a été publiée. Plusieurs incohérences (présence d'IBAN, absence totale de données médicales dans les échantillons) ouvrent l'hypothèse d'une agrégation de plusieurs fuites antérieures revendue sous une appellation plus médiatique. Sheeldy met à jour cette page à mesure que les vérifications avancent.
Effacez vos données Mon Espace Santé (DMP) potentiellement exposées par la fuite.
Le 2 juin 2026 à 6h29, un cybercriminel a mis en vente sur un forum spécialisé une base de données revendiquée comme issue du Dossier Médical Partagé (DMP / Mon Espace Santé), contenant plus de 34,2 millions d'enregistrements de citoyens français — nom, prénom, sexe, date et lieu de naissance, adresse postale, e-mail, téléphone, et pour 85 % des lignes un numéro de sécurité sociale (NIR), voire un IBAN bancaire. Si l'attribution au DMP se confirme, c'est l'une des plus grosses bases de données personnelles françaises jamais apparues sur les forums cybercriminels. Sheeldy envoie pour vous, gratuitement, une demande d'effacement et d'opposition au DPO officiel de la Cnam (responsable de traitement de Mon Espace Santé).
Ce qu'on sait de la fuite revendiquée Mon Espace Santé
Le 2 juin 2026 à 6h29, un cybercriminel a publié sur un forum cybercriminel fréquenté par des acteurs spécialisés dans le trafic de données personnelles une annonce de vente présentée comme issue du Dossier Médical Partagé (DMP) / Mon Espace Santé. Le vendeur affirme disposer d'un fichier unique regroupant plus de 34,2 millions de lignes, immédiatement exploitable à des fins de prospection frauduleuse, d'usurpation d'identité ou de fraude bancaire.
Plusieurs éléments observés dans les échantillons publiés invitent à la prudence sur l'attribution réelle de la base. Aucune information médicale n'est visible dans les extraits (pas d'ordonnance, pas de compte-rendu, pas de donnée clinique) ; la présence d'IBAN — peu cohérente avec la finalité du DMP, qui ne stocke pas de coordonnées bancaires — et le fait que les lignes avec NIR et les lignes avec IBAN ne semblent pas associées aux mêmes fiches suggèrent qu'il pourrait s'agir d'une agrégation de plusieurs fuites antérieures (Almerys en mai 2026 pour les NIR, autres bases pour les IBAN…) revendue sous une appellation plus médiatique.
Quel que soit le scénario, le risque pour vous est identique : si votre NIR ou vos coordonnées sont dans cette base, ils circulent désormais sur le DarkWeb. La Cnam reste, dans tous les cas, le responsable de traitement légitime à qui adresser une demande d'effacement de vos données détenues dans Mon Espace Santé et dans son SI général.
Quelles données sont revendiquées dans la fuite ?
Les échantillons publiés par le vendeur sur le forum cybercriminel montrent un jeu de champs très large et fortement identifiant. Contrairement à de nombreuses fuites limitées à un e-mail ou un téléphone, les informations revendiquées ici permettraient de reconstituer une identité administrative complète.
— Exposées
— Non observées dans les échantillons
Ce que Sheeldy demande, et ce que la Cnam doit faire
Sheeldy envoie au DPO de la Cnam une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :
- Article 17 du RGPD — droit à l'effacement : la Cnam doit supprimer les données vous concernant qui ne sont pas couvertes par une obligation légale de conservation. En matière de santé, cette marge est encadrée : certaines données sont conservées de droit (carrière, prestations, justificatifs), mais d'autres (préférences, profilage, données techniques associées au compte Mon Espace Santé) peuvent être effacées.
- Article 21 du RGPD — droit d'opposition : la Cnam doit cesser tout traitement non strictement nécessaire au service public dont elle a la charge — en particulier les enrichissements analytiques, les croisements de données et les communications non obligatoires.
Ce qui est garanti immédiatement (art. 21) : l'arrêt de toute prospection, newsletter, et traitement non indispensable à la mission de la Cnam. Le droit d'opposition à la prospection est absolu — aucune justification recevable.
Ce qui dépend du cadre légal de la sécurité sociale (art. 17) : la Cnam est un organisme à mission de service public. Une partie significative de vos données est conservée au titre du Code de la sécurité sociale (article L161-31 et suivants), du Code de la santé publique et des règles propres au DMP (article L1111-14 CSP). Sheeldy demande l'effacement de tout ce qui sort de ces obligations strictes : profilage, données techniques, traces d'usage, et tout enrichissement non explicitement requis par la loi.
La Cnam dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL via son téléservice de plainte en ligne. Sheeldy vous tient en copie de la demande et vous transfère automatiquement toute réponse du DPO.
Remonter au formulaireQuestions fréquentes — Fuite Mon Espace Santé / DMP
Comment savoir si je suis concerné par la fuite Mon Espace Santé ?
Quelles données sont revendiquées dans la fuite exactement ?
Le risque, c'est la fuite médicale ?
Sheeldy envoie-t-il vraiment la demande à la Cnam ?
Quel est le délai de réponse de la Cnam ?
La Cnam peut-elle refuser de supprimer mes données ?
Le service Sheeldy est-il payant pour cette demande ?
Que devient mon adresse email après cette demande ?
Dois-je aussi prévenir ma banque à cause des IBAN dans la fuite ?
Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de la Caisse nationale de l'Assurance Maladie (Cnam, opérateur de Mon Espace Santé) une demande d'effacement et d'opposition (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : Cnam (DPO — contact-dpo@assurance-maladie.fr) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.