Fuite de données chez CEGEDIM – la question des zones à commentaire

Ce que l’on sait d’abord : les données de 15 millions de Français contenues dans les logiciels de CEGEDIM ont été volées fin 2025 et retrouvées sur le Dark Web. Les éléments non confirmés à ce stade concernent le nombre exact de personnes touchées, le vecteur d’attaque (non connu et/ou non communiqué à ce jour), mais surtout la nature exacte des données qui ont fuité. Car pas mal de questions découlent de ce dernier aspect.

CEGEDIM affirme qu’il s’agit de données « administratives », et le communiqué (disponible ici²) précise :
« Les informations concernées proviennent exclusivement du dossier administratif du patient : nom, prénom, sexe, date de naissance, téléphone, adresse, e-mail et commentaire administratif en texte libre à la discrétion des médecins. Ce commentaire a pu contenir, pour un nombre très limité de patients, des annotations personnelles du médecin concernant des informations sensibles. Les dossiers médicaux structurés des patients sont restés intègres. »

La dernière phrase doit être interprétée comme suit : aucune modification (atteinte à l’intégrité des données) n’a eu lieu sur les dossiers médicaux ; la communication de CEGEDIM est donc axée sur une fuite touchant uniquement les données administratives. Mais la partie intéressante, et qui va certainement alimenter les débats, c’est justement la fuite des zones de commentaires libres, que CEGEDIM qualifie de « commentaires administratifs ».

D’abord, il est facile de trouver, en trois requêtes sur le Dark Web, des exemples de commentaires qui ont été renseignés (et qui ont fuité) par certains médecins dans cette zone que CEGEDIM qualifie d’administrative : « 4 ans, attouchement à 7 ans avec le fils de la nourrice, tentative de viol à 20 ans, dépression 90 » ou encore « déprime ++ suite au viol de sa fille ». On a fait plus administratif comme genre de commentaires, non ?

Ensuite, il faudrait voir des copies d’écran de ces fameuses zones : s’il est expressément mentionné que la zone est uniquement destinée à des commentaires administratifs, alors une partie de la responsabilité de CEGEDIM pourrait être dégagée, mais une partie seulement. En tant que DPO, il faut déjà que l’on m’explique ce qu’est une zone de « commentaire administratif » : je remplis des paperasses de toutes les couleurs depuis ma plus tendre enfance, et même l’armée ne m’a jamais proposé, dans les monceaux de papiers que j’ai dû noircir, ce genre de joyeuseté. Commentaire médical, je vois (on appelle cela les notes personnelles des médecins et elles ont un statut juridique un peu à part), mais administratif, j’ai un peu plus de mal.

Ensuite, manifestement, chez CEGEDIM, on n’a jamais entendu parler de recherche plein texte, voire d’IA afin d’analyser les éventuelles dérives. Je précise d’ailleurs que ce n’est pas la première fois que l’on voit ce genre de situation : il y a quelques années, l’entreprise Acadomia s’était vu infliger une amende par la CNIL pour à peu près les mêmes motifs, le contrôle ayant trouvé dans les fichiers des parents et des élèves (donc, de l’administratif, du coup) des remarques très délicates du genre « gros con », « cancer du poumon tant mérité » ou encore « élève retourné en prison ». La décision et l’amende ont d’ailleurs été confirmées par le Conseil d’État. Et ce n’est pas tout jeune : 2012. On a donc du mal à croire que l’on découvre les dérives éventuelles de ce genre de zones.

Il faut donc se méfier comme du lait sur le feu de certains logiciels que nous avons tous en interne, tels les signalements de fiches d’événements indésirables (FEI), les signalements pour incivilité (la grande mode depuis quelques années), voire certains logiciels RH qui stockent les évaluations ou les résultats d’entretien. Une bonne partie comporte justement des « zones à commentaire », et c’est une petite bombe à retardement en cas de contrôle : je ne suis pas certain que nous soyons tous irréprochables…

Bref, au-delà de l’affaire CEGEDIM et de ses détails non encore connus, nous avons tous intérêt, en interne, à jeter un coup d’œil plus que sérieux à nos « zones de commentaires ».

De rien.

[1] Ce chiffre est sujet à discussion et non confirmé à ce stade

[2] https://www.cegedim.fr/Communique/Cegedim_Communique26022026.pdf