Le champ libre, talon d’Achille du secret médical numérique

Révélée fin février 2026, la fuite de données liée au logiciel médical MLM de Cegedim Santé dépasse le cadre d’un incident de cybersécurité. En distinguant les dossiers médicaux structurés, présentés comme intègres par l’éditeur, et les annotations sensibles saisies dans un commentaire administratif en texte libre, elle éclaire une zone grise de la médecine numérisée : le champ libre, outil commode pour les cabinets, mais vulnérable lorsqu’il sort du contexte de soin.

À retenir (lecture rapide)

• Cegedim chiffre le fichier publié à 15,8 millions de dossiers administratifs après dédoublonnage.

• Environ 165 000 dossiers contiendraient une annotation sensible dans un commentaire administratif en texte libre.

• Les données administratives restent exploitables pour l’hameçonnage, surtout lorsqu’elles proviennent d’un logiciel médical.

• Le champ libre oblige à repenser les pratiques de saisie et la conception des logiciels médicaux.

• MFA, AIPD et contrôle des prestataires deviennent des leviers de protection du secret médical numérique.

Une fuite Cegedim qui révèle une fragilité ordinaire

Dans ses précisions du 4 mars 2026, Cegedim Santé indique que le fichier publié par l’acteur malveillant comporte, après dédoublonnage, 15,8 millions de dossiers administratifs : nom, prénom, date de naissance et, pour une partie d’entre eux, adresse postale, téléphone et adresse mail^[1]. L’éditeur ajoute que 165 000 de ces dossiers, soit environ 1 %, contiendraient « une annotation personnelle du médecin relative à une information sensible (liée ou non à la santé) au sein du commentaire administratif en texte libre »^[1]. Il précise également que « le fichier publié ne comporte aucun dossier médical de patients » et que les dossiers médicaux structurés seraient restés intègres^[1].

Cette distinction technique ne referme pas le débat. Elle le déplace. L’enjeu n’est plus seulement de savoir si un dossier médical structuré a été compromis, mais de comprendre comment des données sensibles ont pu se retrouver dans un espace présenté comme administratif. Le désaccord initial sur la profondeur clinique des données exposées avait déjà montré que la qualification d’une donnée dépend autant de son emplacement dans le logiciel que de ce qu’elle révèle effectivement sur la personne^[4].

Au début de la séquence, les autorités avaient évoqué environ 15 millions de personnes potentiellement concernées et près de 164 000 dossiers incluant des données sensibles, tout en soulignant que les chiffres évoluaient au fil des investigations^[5]. Le chiffre ensuite stabilisé par Cegedim à 165 000 dossiers ne modifie donc pas la nature du problème : dans un logiciel médical, une zone de saisie libre peut devenir, par l’usage, un espace de données sensibles.

Une parole d’éditeur à confronter aux constats externes

La prudence impose de ne pas confondre précision technique et clôture du dossier. Cegedim est une source centrale, mais aussi une partie directement concernée par l’incident. Ses chiffres et sa qualification du périmètre doivent donc être rapportés avec exactitude, sans être transformés en vérité définitive tant que l’ensemble des constats techniques, réglementaires et judiciaires n’a pas été rendu public.

Plusieurs éléments extérieurs invitent à conserver cette distance. Le Monde relevait, le 27 février 2026, qu’un flou demeurait sur l’ampleur du piratage, tout en indiquant qu’un échantillon mis en ligne contenait surtout des données administratives, mais aussi une petite fraction d’informations médicales ou privées^[2]. France Assos Santé a, de son côté, souligné que les commentaires et annotations de médecins figurant dans les fiches de patients avaient bien été divulgués, même si les ordonnances, résultats d’examens et autres éléments du dossier médical structuré n’étaient pas concernés^[3].

Cette tension entre cadrage de l’éditeur, constats médiatiques et alerte des représentants d’usagers doit rester visible. Il ne s’agit pas d’accuser au-delà des faits établis. Il s’agit de rappeler que le mot « administratif » ne suffit pas à rassurer lorsqu’un fichier provient d’un logiciel médical et qu’il contient des commentaires rédigés dans un contexte de soin.

Le champ libre, outil pratique devenu zone sensible

Le champ libre répond à un besoin réel. Dans une consultation ou dans la gestion d’un cabinet, le médecin doit parfois inscrire une information qui ne rentre pas dans une case : un contexte familial, une fragilité sociale, une difficulté de suivi, une remarque utile à l’équipe, une précision sur l’organisation d’un rendez-vous. Cette souplesse explique son succès. Elle explique aussi son risque.

Une information saisie pour faciliter la prise en charge peut changer de nature lorsqu’elle est extraite de son environnement de soin. Un commentaire bref, compréhensible pour l’équipe médicale, peut devenir stigmatisant pour le patient, exploitable dans une tentative d’hameçonnage ou sensible au regard du Règlement général sur la protection des données (RGPD). France Assos Santé indique que certaines annotations pouvaient concerner des diagnostics, l’orientation sexuelle ou la religion de patients^[3].

Le problème n’est donc pas seulement informatique. Il est documentaire, organisationnel et déontologique. La donnée sensible ne naît pas toujours d’un formulaire explicitement médical. Elle peut surgir d’une ligne de texte, d’une abréviation, d’un mot de contexte ou d’une note ancienne dont plus personne ne mesure la portée. Le champ libre devient alors un angle mort : il rend service au praticien, mais il résiste mal à l’audit, à la cartographie des risques et à l’information claire des personnes concernées.

Des données administratives loin d’être anodines

L’une des limites du débat public tient au mot « administratif ». Il peut donner l’impression d’un dommage secondaire, presque banal, dès lors que les ordonnances, résultats biologiques ou comptes rendus ne sont pas mentionnés. Cette lecture serait trompeuse. Une identité, une date de naissance, une adresse postale, un téléphone et une adresse mail suffisent déjà à alimenter des scénarios d’usurpation ou de hameçonnage personnalisé. Lorsqu’elles sont associées à un logiciel médical, ces données révèlent en outre une relation de soins, au moins indirectement.

Le risque est d’autant plus fort que les cybercriminels n’ont pas besoin d’un dossier complet pour crédibiliser une fraude. Un appel se réclamant d’une mutuelle, un message imitant l’Assurance maladie, une relance prétendument envoyée par un cabinet ou un laboratoire peuvent paraître plus convaincants dès lors qu’ils reprennent des informations exactes. France Assos Santé rappelle que les données d’identité et de contact sont particulièrement utiles aux arnaques de type hameçonnage ou usurpation d’identité^[3].

La présence d’environ 165 000 annotations sensibles ne doit donc pas conduire à relativiser les 15,8 millions de dossiers administratifs. Les deux niveaux de risque coexistent. Pour les personnes concernées par les commentaires, l’atteinte peut toucher l’intime. Pour l’ensemble des patients exposés, le danger réside dans le recoupement, la sollicitation frauduleuse et la perte de maîtrise sur des données qui n’auraient jamais dû circuler hors du cadre de soin.

La faille documentaire rejoint la faille d’accès

L’affaire Cegedim met aussi en lumière un autre point de fragilité : l’accès aux comptes. Dans son premier communiqué, l’éditeur indiquait avoir identifié fin 2025 un « comportement anormal de requêtes applicatives » sur des comptes de médecins utilisateurs du logiciel MLM, utilisé par 3 800 médecins en France, dont 1 500 concernés par l’attaque^[4]. Le Monde rapportait également que Cegedim disait avoir sécurisé les accès, porté plainte et signalé la fuite à la Commission nationale de l’informatique et des libertés (CNIL)^[2].

Le 10 mars 2026, 01net, citant un communiqué adressé par Cegedim Santé, indiquait que l’attaque résultait d’un « usage frauduleux de comptes utilisateurs légitimes compromis » et que l’authentification à deux facteurs n’était pas encore implémentée sur tous les comptes au moment des faits^[6]. Selon le même média, Cegedim précisait que plus de 70 % des comptes avaient déjà configuré une authentification multifactorielle lors de l’intrusion, avant une généralisation ultérieure^[6].

Ce point rejoint directement la doctrine de la CNIL. Dans son analyse des violations massives de 2024, l’autorité observe que les attaques reposent souvent sur des informations de connexion compromises, des habilitations trop larges, des volumes d’export insuffisamment limités et une détection tardive des exfiltrations^[7]. Elle recommande notamment l’authentification multifacteur, les comptes nominatifs, la limitation des requêtes, le cloisonnement effectif des données, la journalisation et la vérification périodique des garanties offertes par les prestataires^[7].

Le champ libre n’est donc pas un problème isolé. Il devient plus dangereux lorsque des comptes légitimes peuvent être détournés, lorsque des exports massifs sont possibles ou lorsque les comportements anormaux ne déclenchent pas assez vite une alerte exploitable. La donnée excessive, le compte compromis et la détection tardive forment une même chaîne de risque.

Une responsabilité partagée qui doit devenir vérifiable

La numérisation de la médecine de ville a installé les éditeurs de logiciels au cœur de la relation de soin. Un cabinet peut maîtriser son accueil, ses dossiers papier et ses procédures internes ; il dépend aussi de la sécurité des outils qu’il utilise, des modalités d’accès, du paramétrage des droits, de la journalisation et de la rapidité de réaction du prestataire en cas d’incident.

Cette dépendance ne dispense pas les professionnels de leur propre vigilance. Elle impose au contraire une responsabilité partagée, qui ne doit pas rester théorique. La CNIL rappelle que le responsable de traitement doit choisir un sous-traitant offrant des garanties suffisantes, encadrer la relation par un contrat précis et vérifier les garanties des sous-traitants ultérieurs lorsque le risque est élevé pour les droits et libertés des personnes^[10]. Même lorsqu’un petit cabinet se trouve face à un grand prestataire, il ne peut pas se décharger entièrement de ses obligations RGPD^[10].

La conséquence est concrète : un médecin libéral, une maison de santé ou une structure de soins doit pouvoir demander à son éditeur des éléments tangibles sur l’authentification, les habilitations, les journaux, les sauvegardes, la limitation des exports, la gestion des incidents et la purge des données obsolètes. La conformité ne peut plus se limiter à une clause contractuelle lue une fois lors de la souscription.

Des cabinets médicaux appelés à reprendre la main

Pour les médecins, la première réponse consiste à réduire la charge sensible du texte libre. Il ne s’agit pas d’interdire toute note, ce qui serait irréaliste, mais d’encadrer les usages. Une mention subjective, un jugement de valeur, une information familiale non nécessaire ou une donnée intime sans lien direct avec le suivi exposent davantage le patient qu’elles ne servent la prise en charge.

La deuxième réponse concerne les accès. La CNIL a publié le 1er avril 2025 une recommandation sur l’authentification multifacteur, dite MFA, afin d’accompagner les responsables de traitement, les sous-traitants et les fournisseurs de solutions dans la mise en œuvre de dispositifs conformes au RGPD^[8]. Pour un logiciel manipulant des données de patients, le mot de passe seul appartient désormais à une époque révolue.

La troisième réponse relève de la gouvernance. L’analyse d’impact relative à la protection des données (AIPD) ne doit pas être perçue comme une formalité administrative. La CNIL la présente comme un outil permettant de construire un traitement conforme au RGPD pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées^[9]. Appliquée aux logiciels de cabinet, elle oblige à regarder en face les zones de texte libre, les habilitations, les durées de conservation, les exports possibles et les scénarios de fuite. Elle permet aussi de poser une question simple avant qu’un incident n’y contraigne : cette donnée est-elle nécessaire, proportionnée et placée au bon endroit ?

Les éditeurs face à une sobriété d’interface

Les éditeurs ne peuvent pas se contenter d’ajouter des couches de cybersécurité autour d’interfaces qui favorisent, par conception, la saisie d’informations sensibles dans des espaces mal qualifiés. Le principe de minimisation, posé par le RGPD, suppose de ne traiter que les données nécessaires à la finalité poursuivie. Dans une analyse juridique consacrée au cas Cegedim, le cabinet August Debouzy souligne que les zones de commentaire libre peuvent fragiliser ce principe en incitant certains utilisateurs à inscrire davantage de données que nécessaire^[11].

Cette observation ouvre un débat de conception. Pourquoi un commentaire libre administratif doit-il exister ? Peut-il être limité à certains usages ? Faut-il préférer des menus structurés, des alertes contextuelles, des durées de conservation plus courtes ou des droits d’accès différenciés ? Ces solutions ne supprimeront pas le risque, mais elles peuvent éviter que le logiciel transforme une commodité de saisie en réservoir durable d’informations intimes.

La journalisation doit également devenir plus lisible pour les soignants. Savoir qu’une donnée a été créée, consultée, modifiée, exportée ou supprimée n’est pas un luxe technique ; c’est une condition de traçabilité. En cas d’incident, un cabinet doit pouvoir comprendre quelles informations sont concernées, sur quelle période et avec quel niveau de risque pour les patients.

Cette exigence dépasse le seul cas Cegedim. Le précédent Weda, avec 23 000 soignants concernés, avait déjà montré qu’un incident sur un logiciel métier peut désorganiser brutalement l’activité des cabinets et replacer le papier au centre du fonctionnement quotidien^[12]. La médecine de ville est désormais exposée à une double vulnérabilité : la fuite de données de santé et l’interruption d’activité.

Informer les patients sans brouiller le risque

L’information des patients doit éviter deux écueils. Le premier serait de minimiser la fuite au motif que les dossiers médicaux structurés seraient restés intègres. Le second serait de laisser croire que toutes les données médicales auraient été intégralement compromises, alors que les éléments confirmés par l’éditeur décrivent un fichier administratif enrichi, dans une partie des cas, par des annotations sensibles en texte libre^[1].

La bonne formulation doit être précise : données administratives pour le plus grand nombre, annotations personnelles sensibles pour une fraction des dossiers, périmètre médical structuré présenté comme non compromis par Cegedim, enquêtes encore nécessaires pour consolider l’ensemble du récit technique. Cette précision n’est pas cosmétique. Elle conditionne la capacité du patient à comprendre le risque réel : usurpation d’identité, hameçonnage personnalisé, appel frauduleux se réclamant d’une mutuelle, d’un professionnel de santé ou de l’Assurance maladie.

Le patient n’a pas à devenir expert en architecture logicielle pour défendre sa vie privée. En revanche, les professionnels et les éditeurs doivent lui fournir une information loyale, intelligible et suffisamment individualisée lorsque le risque le justifie. C’est aussi à ce prix que la confiance peut être restaurée.

Un test de maturité pour le secret médical numérique

Le champ libre est né d’un besoin de souplesse. Il devient aujourd’hui un révélateur de maturité numérique. Dans un système de santé où les logiciels médicaux structurent la consultation, la facturation, le suivi et parfois la coordination entre acteurs, le secret médical ne dépend plus seulement du silence du soignant. Il dépend aussi de la manière dont les interfaces orientent l’écriture, limitent les excès, sécurisent les accès et rendent les incidents compréhensibles.

L’affaire Cegedim Santé ne condamne pas les outils numériques. Elle rappelle en revanche que la confiance ne se décrète pas. Elle se construit dans le détail des usages : un champ mieux nommé, une note moins intrusive, un accès mieux protégé, un prestataire mieux audité, une information plus claire en cas d’incident. Le secret médical numérique se joue souvent là, dans ces zones discrètes où la facilité de saisie rencontre la fragilité des données de santé.

Références

^[1] Cegedim Santé, « Précisions complémentaires au Communiqué de presse du 26/02/2026 », 4 mars 2026.

^[2] Le Monde, « Cegedim : des données personnelles volées à la suite du piratage d’un logiciel pour médecins du groupe », 27 février 2026.

^[3] France Assos Santé, « Des millions de patients concernés après le piratage du logiciel médical Cegedim : Liberté - Egalité - Fuite de données ? », 27 février 2026.

^[4] Caducee.net, « Incident MLM chez Cegedim : Anatomie d'une fuite de données estimée à 11-15 millions de dossiers patients », 27 février 2026.

^[5] Caducee.net, « Cegedim : l'État acte l'ampleur de la fuite et précise le risque “données sensibles” pour 164 000 personnes », 28 février 2026.

^[6] 01net, « Fuite de données médicales : l'éditeur français Cegedim Santé répond aux critiques », 10 mars 2026.

^[7] CNIL, « Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ? », 28 janvier 2025.

^[8] CNIL, « Authentification multifacteur : les recommandations de la CNIL pour mieux protéger les données », 1er avril 2025.

^[9] CNIL, « L'analyse d’impact relative à la protection des données (AIPD) », consulté le 12 mai 2026.

^[10] CNIL, « Responsable du traitement, sous-traitants : comment bien identifier son rôle ? », 6 juin 2025.

^[11] August Debouzy, « Le secret médical à l’épreuve des cyberattaques : réflexions autour du cas Cegedim Santé », 9 mars 2026.

^[12] Caducee.net, « Cyberattaque Weda : 23 000 soignants concernés », 19 novembre 2025.