15 millions de données sensibles piratées à des médecins en France

Introduction et rappels

Cela fait plusieurs années maintenant que je tente d'alerter concernant le risque que constitue le stockage de données psychologiques dans le dossier médical des Belges. Dans un article rédigé il y a deux ans déjà, j'exprimais ma grande inquiétude face à une volonté politique de considérer les données psychologiques comme des données médicales classiques, incluant un stockage sur des serveurs de l'Etat d'un certain nombres de données intimes qui sont révélées confidentiellement aux psychologues durant leurs consultations.

Dans un autre article paru à la même époque, je m'inquiétais du risque de piratage informatique, tantôt "simplement" de serveurs d'Etat, tantôt de données médicales. Je donnais quelques exemples récents: nos services secrets piratés par la Chine pendant plus d'un, le serveur d'un service fédéral mis en échec par des pirates pendant plusieurs mois, 33 millions de données de sécurité sociale piratées en France, ...

Nous pouvons allonger la liste!

En effet, le site de France24 ou celui du Journal du Geek (parmi bien d'autres), nous informent que le 26 février 2026, une équipe de France 2 révèle que 15 millions de données médicales ont été piratées à des médecins français.

Des données privées et intimes désormais consultables

En effet, du fait du piratage de ce volet non-partagé avec d'autres professionnels, "strictement réservé au médecins", 169.000 de ces dossiers contenaient des informations très personnelles et privées. Elles étaient stockées dans la partie du dossier réservée aux seuls médecins (données sensément "non-partageables" avec d'autres prestataires), partie du dossier qui permet donc au médecin de prendre des notes uniquement pour lui-même, sur des données parfois très sensibles de la vie de ses patients.

Les journalistes de France 2 (qui a donc révélé l'affaire) ont affirmé avoir pu consulter des données volées, lesquelles relataient par exemple l'orientation sexuelle des patients, leur séropositivité. L'article du Journal du Geek relate des données liées à la situation générale des patients, leurs traitements, leurs addictions, ainsi que des données psychologiques. Bien évidemment, ces données étaient censées se trouver dans une partie strictement réservée au médecin. Mais cette partie étant, bien évidemment, stockée sur un serveur, elles étaient totalement accessibles au piratage. Plus que les autres partie du dossier, visiblement, auxquelles les hackers n'ont, cette fois, pas eu accès...

Des données non médicales présentes dans un dossier médical...

Il est tout à fait évident que, au-delà du piratage en tant que tel, ce qui choque les différents observateurs, c'est la présence de données non médicales, ou très sensibles par rapport à la vie privée, dans le dossier des patients. Orientation sexuelle, addictions, problématiques psychiques, contextuelles...

Une leçon en 4 points

1. Il y a plusieurs niveaux de faiblesse informatique. En effet, un piratage cherche à exploiter plusieurs niveaux de failles potentielles. Ici, par exemple, c'est le logiciel de la société privée travaillant en sous-traitance pour l'Etat français qui présentait une faille.
2. Un Etat qui ne communique pas sur le sujet. Le piratage a eu lieu en octobre 2025, et communiqué par la société informatique fin octobre 2025. La situation reste totalement confidentielle, et personne n'est prévenu. C'est une enquête journalistique qui révèle le piratage le 26 février 2026, soit 4 mois après les faits. C'est le lendemain seulement, le 27 février, que les autorités publiques révèlent le vol de données.
3. Le danger d'un volet non-partageable, soi-disant réservé au professionnel. Les médecins ont utilisé une partie de leur dossier médical pour stocker des informations très sensibles. Cette partie du dossier était décrite comme un volet qui n'était pas destiné au partage informatique avec d'autres. Le médecin pouvait donc y stocker des données strictement réservées à son patient et lui-même. On voit ce que cela a donné...
4. Le fait qu'il y ait eu des données privées, intimes, personnelles, choque! Le journal du Geek est particulièrement choqué d'avoir appris qu'une partie de ces données est lié à la vie privée des Français. Orientation sexuelle, problèmes psychologiques, et considère ces données comme ne devant pas figurer dans un dossier médical.

Que peut-on conclure ?

La Belgique prépare actuellement l'intégration des psychologues dans le système informatique de santé. Le psychologue se verra donc proposer bientôt de souscrire à un logiciel qui lui permettra (lui imposera??) de stocker un certains nombre de données liées à ses consultation.

Relevons d'abord que l'idée que le psychologue puisse utiliser une partie "rien-qu'à-lui" pour y stocker des infos plus sensibles n'a aucun sens. Ce volet au contraire, paradoxalement, représente un danger supplémentaire puisque le psychologue risque de s'y lâcher un peu, considérant qu'il stocke dans cet espace des données qui n'appartiennent qu'à lui.

Il est capital que le psychologue et le patient constituent, à deux, une équipe très éclairée sur les risques informatiques liés au stockage de données aussi sensibles que les données issues des consultations psychologiques. Une place totalement libre doit être laissée au non-consentement du patient au stockage de données, ainsi qu'à l'appréciation systématique du psychologue de la pertinence du stockage de certaines données dans le dossier médical de son patient.