Effacez vos données chez la Cnam (Mon Espace Santé)
34,2 millions de Français revendiqués sur le DarkWeb.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie
Sources (détection initiale + précédents fuites santé 2026)

Important : à ce stade, l'attribution de la base au Dossier Médical Partagé est revendiquée par le vendeur mais n'a pas été confirmée techniquement, et aucune communication officielle de la Cnam ou de l'ANS n'a été publiée. Plusieurs incohérences (présence d'IBAN, absence totale de données médicales dans les échantillons) ouvrent l'hypothèse d'une agrégation de plusieurs fuites antérieures revendue sous une appellation plus médiatique. Sheeldy met à jour cette page à mesure que les vérifications avancent.

⚖️ Demande RGPD — Articles 17 et 21
Supprimez vos données détenues par la Cnam (Mon Espace Santé)
Renseignez l'identité utilisée chez Mon Espace Santé / Ameli. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.
L'adresse rattachée à votre compte Mon Espace Santé ou Ameli. C'est elle qui sera citée dans la demande au DPO.

Effacez vos données Mon Espace Santé (DMP) potentiellement exposées par la fuite.

Le 2 juin 2026 à 6h29, un cybercriminel a mis en vente sur un forum spécialisé une base de données revendiquée comme issue du Dossier Médical Partagé (DMP / Mon Espace Santé), contenant plus de 34,2 millions d'enregistrements de citoyens français — nom, prénom, sexe, date et lieu de naissance, adresse postale, e-mail, téléphone, et pour 85 % des lignes un numéro de sécurité sociale (NIR), voire un IBAN bancaire. Si l'attribution au DMP se confirme, c'est l'une des plus grosses bases de données personnelles françaises jamais apparues sur les forums cybercriminels. Sheeldy envoie pour vous, gratuitement, une demande d'effacement et d'opposition au DPO officiel de la Cnam (responsable de traitement de Mon Espace Santé).

Section 01 — Les faits

Ce qu'on sait de la fuite revendiquée Mon Espace Santé

Le 2 juin 2026 à 6h29, un cybercriminel a publié sur un forum cybercriminel fréquenté par des acteurs spécialisés dans le trafic de données personnelles une annonce de vente présentée comme issue du Dossier Médical Partagé (DMP) / Mon Espace Santé. Le vendeur affirme disposer d'un fichier unique regroupant plus de 34,2 millions de lignes, immédiatement exploitable à des fins de prospection frauduleuse, d'usurpation d'identité ou de fraude bancaire.

Enregistrements revendiqués
~34 200 000
Lignes avec NIR
~85 %
Lignes avec IBAN
30 – 40 %
Origine
Revendiquée DMP — non confirmée

Plusieurs éléments observés dans les échantillons publiés invitent à la prudence sur l'attribution réelle de la base. Aucune information médicale n'est visible dans les extraits (pas d'ordonnance, pas de compte-rendu, pas de donnée clinique) ; la présence d'IBAN — peu cohérente avec la finalité du DMP, qui ne stocke pas de coordonnées bancaires — et le fait que les lignes avec NIR et les lignes avec IBAN ne semblent pas associées aux mêmes fiches suggèrent qu'il pourrait s'agir d'une agrégation de plusieurs fuites antérieures (Almerys en mai 2026 pour les NIR, autres bases pour les IBAN…) revendue sous une appellation plus médiatique.

Quel que soit le scénario, le risque pour vous est identique : si votre NIR ou vos coordonnées sont dans cette base, ils circulent désormais sur le DarkWeb. La Cnam reste, dans tous les cas, le responsable de traitement légitime à qui adresser une demande d'effacement de vos données détenues dans Mon Espace Santé et dans son SI général.

Section 02 — Le détail

Quelles données sont revendiquées dans la fuite ?

Les échantillons publiés par le vendeur sur le forum cybercriminel montrent un jeu de champs très large et fortement identifiant. Contrairement à de nombreuses fuites limitées à un e-mail ou un téléphone, les informations revendiquées ici permettraient de reconstituer une identité administrative complète.

— Exposées

Nom, prénom et sexeIdentifiant principal pour le phishing et la fraude documentaire
Date et département de naissanceCombinés au nom : reconstruction du NIR théoriquement possible
Adresse postale complète, code postal, communePermet l'envoi de courriers d'arnaque crédibles ou de mules postales
Adresse e-mail et numéro de téléphoneVecteurs directs de spear-phishing et de SMS frauduleux (smishing)
Numéro de sécurité sociale (NIR) — ~85 % des lignesIdentifiant unique et permanent — extrêmement sensible
IBAN et BIC bancaire — 30 à 40 % des lignesRisque de prélèvements SEPA frauduleux et d'ouvertures de comptes

— Non observées dans les échantillons

Documents médicauxAucune ordonnance, aucun compte-rendu, aucune analyse dans les échantillons publiés
Mots de passe Mon Espace SantéAucun identifiant ou hash de mot de passe visible
Carte Vitale numériqueAucune trace dans les extraits
Section 03 — Vos droits

Ce que Sheeldy demande, et ce que la Cnam doit faire

Sheeldy envoie au DPO de la Cnam une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :

Ce qui est garanti immédiatement (art. 21) : l'arrêt de toute prospection, newsletter, et traitement non indispensable à la mission de la Cnam. Le droit d'opposition à la prospection est absolu — aucune justification recevable.

Ce qui dépend du cadre légal de la sécurité sociale (art. 17) : la Cnam est un organisme à mission de service public. Une partie significative de vos données est conservée au titre du Code de la sécurité sociale (article L161-31 et suivants), du Code de la santé publique et des règles propres au DMP (article L1111-14 CSP). Sheeldy demande l'effacement de tout ce qui sort de ces obligations strictes : profilage, données techniques, traces d'usage, et tout enrichissement non explicitement requis par la loi.

La Cnam dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL via son téléservice de plainte en ligne. Sheeldy vous tient en copie de la demande et vous transfère automatiquement toute réponse du DPO.

Remonter au formulaire

Questions fréquentes — Fuite Mon Espace Santé / DMP

Comment savoir si je suis concerné par la fuite Mon Espace Santé ?
Si l'attribution au DMP se confirme, la base revendique 34,2 millions de Français — soit environ un adulte sur deux. Tout titulaire d'un compte Mon Espace Santé (ouvert automatiquement depuis 2022 pour les assurés Assurance Maladie) est potentiellement concerné. À ce stade, ni la Cnam ni l'ANS n'ont confirmé publiquement l'origine des données. Il reste plausible qu'il s'agisse d'une agrégation de plusieurs fuites antérieures (Almerys, France Travail, fuites e-commerce…) revendue sous une appellation plus médiatique.
Quelles données sont revendiquées dans la fuite exactement ?
Selon les échantillons publiés par le vendeur : nom et prénom, sexe, date et département de naissance, adresse postale complète, code postal, commune, adresse e-mail, numéro de téléphone, IBAN et BIC bancaire. Le vendeur affirme qu'environ 85 % des lignes contiennent un numéro de sécurité sociale (NIR) et que 30 à 40 % incluent également un IBAN. Aucune donnée médicale (ordonnance, compte-rendu, analyse) n'apparaît dans les extraits publiés.
Le risque, c'est la fuite médicale ?
Non, pas dans cette fuite-ci. Aucun document médical n'est présent dans les échantillons. Le risque est l'usurpation d'identité : la combinaison NIR + identité + IBAN permet d'ouvrir des comptes bancaires frauduleux, de monter des dossiers d'aides sociales en votre nom, de lancer des campagnes de phishing extrêmement crédibles citant des informations administratives réelles vous concernant, ou encore de tenter des prises de contrôle de comptes en ligne par ingénierie sociale.
Sheeldy envoie-t-il vraiment la demande à la Cnam ?
Oui. Une fois votre confirmation email validée (double opt-in obligatoire, pour vous protéger des demandes frauduleuses faites par un tiers en votre nom), Sheeldy envoie via la plateforme une demande rédigée à la première personne (comme si vous l'écriviez vous-même) à contact-dpo@assurance-maladie.fr, le DPO officiel de la Caisse nationale de l'Assurance Maladie (responsable de traitement de Mon Espace Santé). La demande invoque cumulativement les articles 17 (effacement) et 21 (opposition) du RGPD. Vous êtes mis en copie de l'envoi, et toute réponse du DPO vous est directement transmise (Reply-To configuré sur votre adresse).
Quel est le délai de réponse de la Cnam ?
Conformément à l'article 12.3 du RGPD, la Cnam dispose d'un mois pour répondre à votre demande. Ce délai peut être prolongé de deux mois supplémentaires sur motivation (soit trois mois au total). L'arrêt de la prospection (article 21) doit en revanche prendre effet sans délai dès réception. Sans réponse à J+30, vous pouvez saisir la CNIL via son téléservice de plainte en ligne.
La Cnam peut-elle refuser de supprimer mes données ?
Oui, en partie. La Cnam est un organisme à mission de service public : certaines de vos données sont conservées au titre du Code de la sécurité sociale et du Code de la santé publique (carrière, prestations versées, justificatifs comptables — typiquement 10 ans, et jusqu'à 20 ans pour le DMP au titre de l'article R1111-30 CSP). Dans ce cas, les données strictement nécessaires à la mission légale restent archivées, mais tout ce qui sort de ces obligations doit être supprimé : profilage, traces techniques d'usage, enrichissements analytiques, données associées non indispensables. Sheeldy obtient donc toujours au minimum l'arrêt complet de la prospection et la suppression de tout traitement non obligatoire.
Le service Sheeldy est-il payant pour cette demande ?
Non, la demande de suppression de données post-fuite est entièrement gratuite. Sheeldy propose ce service en réaction directe aux fuites massives pour permettre à chacun d'exercer ses droits RGPD facilement. Aucun compte, aucune carte bancaire requise, juste votre email.
Que devient mon adresse email après cette demande ?
Sheeldy conserve votre demande pendant 3 ans dans une base isolée (pour la traçabilité juridique de l'envoi au DPO), puis la supprime automatiquement. Votre adresse n'est jamais ajoutée à une mailing list, jamais revendue, jamais utilisée pour autre chose que cette demande précise. Notre seul email vers vous : la confirmation d'envoi au DPO et la réponse éventuelle de la Cnam.
Dois-je aussi prévenir ma banque à cause des IBAN dans la fuite ?
Si vous voulez maximiser la protection, oui — surtout si vous êtes sensible aux prélèvements SEPA non autorisés. Demandez à votre banque l'activation de la liste blanche de créanciers SEPA (ou « liste noire » selon les établissements) : seuls les créanciers que vous avez explicitement validés pourront prélever votre compte. C'est gratuit, prévu par la loi (article L133-25 du Code monétaire et financier) et la mesure la plus efficace contre les prélèvements frauduleux basés sur un IBAN volé.