MédecinDirect : fuite de données de santé, jusqu’à 323 069 patients concernés
Chronologie et périmètre : ce que l’on sait à ce stade
MédecinDirect indique avoir détecté et « immédiatement neutralisé » l’accès non autorisé le 28 novembre 2025, puis informé les personnes concernées dès la confirmation du périmètre le 3 décembre. La CNIL aurait été notifiée le 28 novembre, avec une mise à jour le 5 décembre, et une plainte a été déposée auprès du procureur de Paris[1]. L’éditeur précise qu’« environ 285 000 personnes » ont été informées[1]. De son côté, Libération (CheckNews) rapporte la revendication par le groupe « Dumpsec » de « 323 069 patients » et dit avoir authentifié un extrait de données subtilisées[2]. L’AFP évoquait « près de 300 000 » utilisateurs touchés au 5 décembre[3].
Point d’incertitude. Les chiffres diffèrent selon les sources (285 000 notifiés par l’éditeur, « 323 069 » revendiqués par les assaillants). L’enquête judiciaire devra arbitrer ces écarts.
Nature des données et risques concrets pour les patients
Selon la note officielle de la plateforme, les données potentiellement consultées incluent des éléments d’identité et de contact, le « motif de la téléconsultation », les réponses au questionnaire de pré-téléconsultation et des « échanges écrits » avant et après la consultation ; dans un nombre limité de cas, le NIR (numéro de Sécurité sociale). Les vidéos ne seraient pas concernées[1]. CheckNews mentionne, à partir d’un échantillon vu et authentifié, des contenus médicaux sensibles (par exemple « je suis enceinte de huit semaines ») ainsi que des traitements médicamenteux cités dans les dossiers[2].
Au-delà de l’atteinte à la vie privée, le message adressé aux utilisateurs et cité par Libération met en garde contre « des risques d’usurpation d’identité » et des démarchages directs (mails, SMS, appels) en vue d’« hameçonnage (phishing) » ou de fraude, notamment autour du NIR[2]. 01net rappelle des scénarios d’exploitation classiques (phishing ciblé, escroqueries se faisant passer pour l’assureur ou un soignant)[4].
« Environ 285 000 personnes ont été informées que certaines données de leur compte MédecinDirect ont pu être consultées. »[1]
Conseils pratiques (à relayer aux patients) : vigilance sur les messages inattendus, vérification des expéditeurs, absence de communication du NIR par téléphone, usage des canaux officiels (compte Ameli, espace assureur). Voir aussi notre dossier « cybersécurité dans les établissements de santé » (Caducee.net, 21/01/2025)
Obligations légales et communication : où en est la procédure RGPD
Conformément au RGPD, l’éditeur affirme avoir déclenché les notifications CNIL et usagers dans les délais, puis déposé plainte[1]. Dans ce contexte, MédecinDirect agit en tant que responsable de traitement pour son propre service de téléconsultation assuré par des médecins salariés ; les cabinets libéraux ne sont donc pas utilisateurs d’un SaaS fourni par la plateforme. Au 5 décembre, l’AFP relayait que la CNIL indiquait ne pas avoir reçu la notification « à ce stade » ; un décalage de calendrier ou de traitement administratif peut l’expliquer[3]. Les professionnels peuvent utilement renvoyer leurs patients vers les messages officiels de l’éditeur et rappeler les consignes d’hygiène numérique.
Pour mémoire, l’écosystème e-santé a déjà été éprouvé ces dernières semaines par la cyberattaque contre Weda (19/11/2025), qui a mis en lumière l’interdépendance des acteurs.
Que doivent anticiper les établissements ?
Bien que les praticiens libéraux ne soient pas clients d’un logiciel MédecinDirect, l’affaire interroge la chaîne de confiance : segmentation des environnements, journalisation, gestion des accès et des secrets, chiffrement des contenus, tests de restauration. Les structures de soins ont tout intérêt à refaire un tour de piste sur la sensibilisation du personnel, l’authentification multifacteur et les plans de continuité. Au-delà du principe « mieux vaut prévenir que guérir », il faut aussi en apporter la preuve : politiques formalisées, traces d’audit et exercices réguliers (« table-top ») feront foi lors d’un contrôle ou d’un incident.
Références
[1] MédecinDirect, « Cyberattaque : MédecinDirect confirme une intrusion et met en oeuvre l’ensemble des mesures de sécurité et d’information prévues par la loi », mis à jour le 08/12/2025. https://www.medecindirect.fr/blog/cyberattaque-medecindirect-confirme-une-intrusion
[2] Libération – CheckNews, « MédecinDirect : un groupe cybercriminel revendique le vol de données de santé de plus de 320 000 patients », 05/12/2025. Article consulté via PDF fourni par la rédaction ; annonce publique : lien
[3] AFP (via NotreTemps), « Téléconsultations : MédecinDirect touché par une fuite de données de santé », 05/12/2025. https://www.notretemps.com/depeches/teleconsultations-medecindirect-touche-par-une-fuite-de-donnees-de-sante-124967
[4] 01net, « MédecinDirect piraté : les données médicales des utilisateurs ont été volées », 04/12/2025. https://www.01net.com/actualites/medecindirect-pirate-donnees-medicales-utilisateurs-volees.html
[5] Next – Next INpact, « Leroy Merlin et Médecin Direct piratés, des données médicales dans la nature », 05/12/2025. https://next.ink/213131/leroy-merlin-et-medecin-direct-pirates-des-donnees-medicales-dans-la-nature/
Descripteur MESH : Santé , Patients , Informatique , Personnes , Sécurité , Communication , Téléphone , Mesures de sécurité , Sécurité sociale , Médecins , Logiciel , Face , Vie , Restauration , Vie privée , Soins , Lumière , Mémoire , Éléments