Données patients : pourquoi le chiffrement de bout en bout change tout
33 millions d'assurés piratés chez Viamedis, 15 millions de dossiers médicaux sur le darkweb via Cegedim : les données de vos patients ne sont pas en sécurité. Le chiffrement de bout en bout est la seule protection qui résiste quand tout le reste cède.
A
Audren
Psychologue en libéral à Quimper
En février 2024, les données de 33 millions d’assurés français ont fuité via Viamedis et Almerys [1]. Fin 2025, 15 millions de dossiers médicaux se sont retrouvés sur le darkweb après le piratage de Cegedim Santé, avec des annotations de médecins mentionnant la séropositivité ou la situation carcérale de proches [2]. Ces systèmes étaient conformes. Ils étaient certifiés. Et pourtant, les données étaient lisibles par les attaquants.
Le problème n’est pas la réglementation. Le problème, c’est que la quasi-totalité des logiciels de santé stockent vos données patients en clair sur leurs serveurs. La certification HDS protège l’hébergeur, pas les données. Le chiffrement de bout en bout (E2E) est la seule approche qui rend les données illisibles pour tous, sauf pour vous. Cet article explique pourquoi, preuves à l’appui, et ce que cela change pour un praticien libéral.
1
Ce qui s’est passé : trois piratages, des millions de victimes
En moins de trois ans, trois incidents majeurs ont exposé les données de santé de dizaines de millions de Français. Pas des attaques théoriques. Pas des scénarios de science-fiction. Des fuites réelles, avec des données réelles, consultables sur le darkweb.
Viamedis et Almerys : 33 millions d’assurés (février 2024)
Le 1er février 2024, Viamedis, opérateur de tiers payant pour les mutuelles, est piraté. Quatre jours plus tard, Almerys subit le même sort. Le mode opératoire est simple : des identifiants de professionnels de santé ont été usurpés [1].
Les données volées : état civil, date de naissance, numéro de Sécurité sociale, nom de l’assureur et garanties du contrat. Pour les professionnels de santé, les noms, adresses, numéros FINESS, SIRET et même les RIB ont été exposés. La CNIL a ouvert une enquête et les deux entreprises ont déposé plainte [1].
Cegedim Santé : 15 millions de patients sur le darkweb (fin 2025)
Fin 2025, Cegedim Santé détecte un comportement anormal sur les comptes de 1 500 médecins utilisant le logiciel MonLogicielMédical (MLM). Le groupe cybercriminel DumpSec revendique l’attaque sur BreachForums [2].
Les données publiées sur le darkweb ne se limitent pas aux noms et adresses. Pour 169 000 patients, les annotations libres des médecins ont fuité : des mentions de séropositivité, de situations familiales sensibles, de pathologies psychiatriques [3]. Des personnalités politiques, des hauts fonctionnaires et des responsables de la sécurité nationale figurent parmi les victimes [2].
Rappel important : en septembre 2024, la CNIL avait déjà infligé à Cegedim Santé une amende de 800 000 euros pour traitement illicite de données de santé [4]. Le logiciel collectait des données pseudonymisées (et non anonymisées) sur 25 000 cabinets médicaux, permettant de reconstituer le parcours de soin des patients.
Hôpital de Corbeil-Essonnes : autopsies et coloscopies en ligne (2022)
En août 2022, le Centre Hospitalier Sud Francilien de Corbeil-Essonnes est frappé par le groupe Lockbit 3.0. Rançon demandée : 10 millions de dollars. L’hôpital refuse de payer [5].
En représailles, les pirates publient sur le darknet des comptes-rendus nominatifs de coloscopies, d’accouchements, d’examens gynécologiques et même des demandes d’autopsie de patients décédés. Sur dix ans d’archives, environ 1,5 million de personnes sont concernées [5].
En chiffres
Entre 2022 et 2023, 30 hôpitaux français ont été victimes de rançongiciels, représentant 10 % de tous les incidents signalés à l’ANSSI. En 2023, 422 établissements de santé ont déclaré au moins un incident de sécurité [6].
2
Pourquoi la certification HDS ne suffit pas
La certification HDS (Hébergement de Données de Santé) est obligatoire pour tout hébergeur stockant des données de santé à caractère personnel [7]. C’est une exigence importante, et il ne s’agit pas ici de la dénigrer. Mais il faut comprendre ce qu’elle protège et, surtout, ce qu’elle ne protège pas.
Ce que le HDS garantit
•La sécurité physique des serveurs (accès contrôlé, redondance, alimentation)
•Des procédures organisationnelles (audits, gestion des incidents, traçabilité)
•Un cadre contractuel sur la confidentialité et la disponibilité des données
•Le chiffrement des données en transit (TLS) et parfois au repos sur le disque
Ce que le HDS ne garantit pas
Le HDS certifie l’hébergeur, pas le logiciel qui tourne dessus. Les données sont stockées en clair côté serveur. L’hébergeur, l’éditeur du logiciel et tout administrateur système peuvent y accéder. En cas de piratage du logiciel ou de compromission d’un compte, les données sont lisibles immédiatement.
C’est exactement ce qui s’est passé dans les trois incidents cités plus haut. Viamedis, Cegedim et l’hôpital de Corbeil-Essonnes n’avaient pas un problème d’hébergement. Le problème, c’est que les données étaient accessibles en clair dès qu’un attaquant franchissait la première porte.
L'analogie du coffre-fort
Le HDS, c’est un bâtiment sécurisé avec des caméras, des badges et des gardes. Mais à l’intérieur, les dossiers sont posés sur les étagères, ouverts. Si quelqu’un réussit à entrer (via un badge volé, une faille dans le logiciel, un employé malveillant), il lit tout. Le chiffrement de bout en bout, c’est mettre chaque dossier dans un coffre individuel dont seul le praticien possède la clé.
3
Le chiffrement de bout en bout, c’est quoi exactement ?
Le chiffrement de bout en bout (end-to-end encryption, ou E2E) repose sur un principe simple : les données sont chiffrées sur votre appareil, avant de quitter votre navigateur. Le serveur ne reçoit que des données illisibles. Seul votre appareil, qui détient la clé privée, peut les déchiffrer.
Ce n’est pas une technologie nouvelle. C’est le même principe que Signal pour la messagerie, que ProtonMail pour les emails, ou que WhatsApp pour les conversations. La différence, c’est que très peu de logiciels de santé l’ont adopté.
Comment ça fonctionne, en pratique
1
Vous saisissez les données
Nom du patient, notes de séance, coordonnées. Tout se passe dans votre navigateur.
2
Le navigateur chiffre localement
Avant tout envoi réseau, les données sont chiffrées avec votre clé. Le résultat est une suite de caractères illisibles.
3
Le serveur stocke du bruit
Le serveur reçoit et stocke les données chiffrées. Il ne peut pas les lire. L’éditeur du logiciel ne peut pas les lire. Un pirate qui accède au serveur ne peut pas les lire.
4
Vous seul déchiffrez
Quand vous consultez une fiche patient, les données sont déchiffrées localement sur votre appareil. La clé ne quitte jamais votre navigateur.
Les algorithmes utilisés (NaCl/libsodium) sont les mêmes que ceux employés par les applications de messagerie chiffrée les plus réputées. Ils sont audités, open source, et considérés comme la référence en cryptographie moderne [8].
4
Ce que ça change concrètement pour un psy en libéral
En tant que psychologue, vous gérez des données parmi les plus sensibles qui soient. Les notes de séance, les motifs de consultation, les antécédents, les hypothèses diagnostiques. Le simple fait qu’une personne soit suivie par un psychologue est en soi une donnée de santé protégée.
Repensez à l’affaire Cegedim. Les annotations libres des médecins (“séropositif”, “mère voilée”, “fils en prison”) sont exactement le type d’information que vous consignez quotidiennement sur vos patients [3]. Sans chiffrement de bout en bout, ces notes sont lisibles par l’éditeur de votre logiciel, par l’hébergeur, et par tout attaquant qui compromettrait l’un ou l’autre.
Avec le chiffrement de bout en bout
•Vos notes de séance sont illisibles sur le serveur. Un pirate n’y voit que des caractères aléatoires.
•Les coordonnées de vos patients (nom, téléphone, email) sont chiffrées. Aucune fuite de liste de patients possible.
•L’éditeur du logiciel ne peut pas exploiter vos données, les revendre ou les analyser. Il n’y a techniquement pas accès.
•En cas de piratage du serveur, aucune donnée patient n’est compromises. Le scénario Cegedim ne peut pas se produire.
Comment Deiz gère le chiffrement
Chez Deiz, le chiffrement a été pensé dès la conception. Toutes les données patients (noms, coordonnées, notes) sont chiffrées de bout en bout sur votre appareil. L’adresse email du patient, nécessaire pour l’envoi de rappels et de notifications, est chiffrée et salée côté serveur : elle est illisible en base de données, mais le serveur peut la déchiffrer ponctuellement pour envoyer un email de rappel. C’est le seul compromis technique, et il est transparent.
Pour un psychologue libéral, c’est la différence entre la promesse de confidentialité que vous faites à vos patients et la garantie technique que cette promesse est tenue. Pour aller plus loin sur vos obligations générales, consultez notre guide RGPD pour psychologue libéral.
5
HDS vs chiffrement E2E : comparaison directe
Les deux approches ne s’opposent pas : elles se complètent. Mais elles ne protègent pas contre les mêmes menaces.
Scénario d’attaque
HDS seul
HDS + E2E
Vol physique d’un serveur
Protégé
Protégé
Identifiant praticien compromis
Données exposées
Protégé
Faille dans le logiciel (type Cegedim)
Données exposées
Protégé
Administrateur malveillant chez l’éditeur
Données exposées
Protégé
Rançongiciel sur le serveur
Données exposées
Protégé
Demande judiciaire à l’hébergeur
Données lisibles
Données illisibles
Exploitation commerciale par l’éditeur
Possible
Impossible
Le constat est clair : le HDS protège contre les menaces physiques et organisationnelles. Le chiffrement E2E protège contre les menaces logicielles et humaines, qui représentent la grande majorité des incidents réels.
6
Les objections courantes (et pourquoi elles ne tiennent pas)
“C’est trop compliqué pour moi”
Le chiffrement est invisible pour l’utilisateur. Vous ouvrez votre logiciel, vous saisissez vos données, vous enregistrez. Le chiffrement se fait en arrière-plan, en quelques millisecondes. Vous ne le voyez pas, vous ne le sentez pas. Si vous utilisez WhatsApp ou Signal, vous utilisez déjà du chiffrement de bout en bout sans y penser.
”Si je perds mon appareil, je perds tout”
Non. La clé peut être transférée d’un appareil à l’autre via un mécanisme d’appairage sécurisé, comme lorsque vous configurez Signal sur un nouveau téléphone. Tant que vous avez au moins un appareil connecté, vous pouvez en ajouter un autre.
”Mon logiciel actuel est certifié HDS, je suis tranquille”
Cegedim Santé utilisait des infrastructures certifiées. Les données de 15 millions de patients ont quand même été publiées sur le darkweb [2]. La certification HDS protège les murs, pas le contenu. C’est nécessaire, mais ce n’est pas suffisant.
”Je suis un petit cabinet, personne ne va me cibler”
Les attaquants ne ciblent pas votre cabinet. Ils ciblent votre logiciel. Quand Cegedim a été piraté, 1 500 médecins ont été touchés d’un coup, et avec eux 15 millions de patients. Si votre éditeur est compromis et que vos données ne sont pas chiffrées de bout en bout, votre cabinet est exposé, quelle que soit sa taille.
7
Comment vérifier si votre logiciel protège vraiment vos données
La plupart des logiciels de gestion pour praticiens libéraux ne proposent pas de chiffrement de bout en bout. Pour savoir où vous en êtes, posez ces trois questions à votre éditeur.
1
”Pouvez-vous lire les données de mes patients depuis vos serveurs ?”
Si la réponse est oui (ou “oui mais on ne le fait pas”), les données sont en clair. La promesse de ne pas regarder n’est pas une protection technique.
2
”Si vos serveurs sont piratés, mes données patients sont-elles lisibles ?”
Avec un chiffrement E2E, la réponse est non. Avec un simple HDS, la réponse est oui.
3
”Où se fait le chiffrement : sur vos serveurs ou dans mon navigateur ?”
Le chiffrement côté serveur est utile (contre le vol physique), mais il ne protège pas contre un piratage logiciel. Seul le chiffrement côté client (dans le navigateur) constitue du chiffrement de bout en bout.
Le critère décisif
Si votre éditeur peut techniquement réinitialiser votre mot de passe et accéder à vos données, c’est que les données ne sont pas chiffrées de bout en bout. Dans un vrai système E2E, l’éditeur ne peut pas récupérer vos données à votre place, car il ne possède pas la clé.
Pour comparer les logiciels disponibles et leurs approches de sécurité, consultez notre comparatif des logiciels de gestion pour praticiens libéraux. Si vous proposez aussi la téléconsultation, vérifiez que les flux vidéo sont aussi chiffrés de pair à pair (P2P), sans transiter par les serveurs de l’éditeur.
?
Questions fréquentes
Qu'est-ce que le chiffrement de bout en bout pour les données patients ?
Le chiffrement de bout en bout (E2E) signifie que les données sont chiffrées sur votre appareil avant d’être envoyées au serveur. Seul vous détenez la clé de déchiffrement. Le serveur, l’hébergeur, l’éditeur du logiciel et tout pirate éventuel ne voient que des données illisibles. C’est le même principe que celui utilisé par Signal ou WhatsApp pour les messages.
Le HDS (Hébergement de Données de Santé) ne suffit-il pas ?
Le HDS certifie que l’hébergeur respecte des normes de sécurité physique et organisationnelle. Mais il ne protège pas les données elles-mêmes : elles restent en clair sur les serveurs. Si un attaquant compromet le logiciel ou un compte administrateur, il accède à tout. Les piratages de Viamedis (33 millions d’assurés) et de Cegedim (15 millions de patients) concernaient des systèmes conformes.
Le chiffrement de bout en bout est-il compatible avec le RGPD ?
Oui, et il va au-delà des exigences du RGPD. L’article 32 impose des “mesures techniques appropriées” pour protéger les données. Le chiffrement de bout en bout est la mesure la plus forte qui existe, car elle rend les données inaccessibles à tous sauf au praticien. La CNIL recommande le chiffrement comme mesure de protection des données sensibles.
Comment fonctionne le chiffrement de bout en bout concrètement ?
Quand vous saisissez les informations d’un patient, elles sont chiffrées dans votre navigateur avec votre clé privée avant d’être envoyées au serveur. Le serveur stocke des données illisibles. Quand vous les consultez, elles sont déchiffrées localement sur votre appareil. Si quelqu’un accède au serveur, il ne trouve que du bruit cryptographique.
Que se passe-t-il si je perds ma clé de chiffrement ?
La clé est stockée sur votre appareil. Si vous ajoutez un nouvel appareil (nouveau téléphone, nouvel ordinateur), un mécanisme d’appairage sécurisé permet de transférer la clé depuis un appareil déjà authentifié. C’est le même principe que les applications de messagerie chiffrée.
Le chiffrement de bout en bout ralentit-il le logiciel ?
Non. Les algorithmes modernes comme NaCl/libsodium sont extrêmement rapides. Le chiffrement et le déchiffrement se font en quelques millisecondes, de manière totalement transparente. Vous ne remarquez aucune différence par rapport à un logiciel classique.
Les données chiffrées de bout en bout sont-elles exploitables en cas de contrôle CNIL ?
Oui. Vous restez le responsable du traitement et vous détenez la clé. En cas de contrôle, vous pouvez déchiffrer et présenter les données. Le chiffrement de bout en bout protège contre les accès non autorisés, pas contre vos propres obligations légales.
Un psychologue libéral est-il vraiment une cible pour les pirates ?
Les pirates ne ciblent pas les cabinets individuellement : ils attaquent les logiciels et les hébergeurs. Quand Cegedim a été piraté, ce sont 1 500 médecins et 15 millions de patients qui ont été touchés d’un coup. Si votre logiciel stocke les données en clair côté serveur, vous dépendez entièrement de sa sécurité.
Comment vérifier si votre logiciel protège vraiment vos données
La plupart des logiciels de gestion pour praticiens libéraux ne proposent pas de chiffrement de bout en bout. Pour savoir où vous en êtes, posez ces trois questions à votre éditeur.
”Pouvez-vous lire les données de mes patients depuis vos serveurs ?”
Si la réponse est oui (ou “oui mais on ne le fait pas”), les données sont en clair. La promesse de ne pas regarder n’est pas une protection technique.
”Si vos serveurs sont piratés, mes données patients sont-elles lisibles ?”
Avec un chiffrement E2E, la réponse est non. Avec un simple HDS, la réponse est oui.
”Où se fait le chiffrement : sur vos serveurs ou dans mon navigateur ?”
Le chiffrement côté serveur est utile (contre le vol physique), mais il ne protège pas contre un piratage logiciel. Seul le chiffrement côté client (dans le navigateur) constitue du chiffrement de bout en bout.
Le critère décisif
Si votre éditeur peut techniquement réinitialiser votre mot de passe et accéder à vos données, c’est que les données ne sont pas chiffrées de bout en bout. Dans un vrai système E2E, l’éditeur ne peut pas récupérer vos données à votre place, car il ne possède pas la clé.
Pour comparer les logiciels disponibles et leurs approches de sécurité, consultez notre comparatif des logiciels de gestion pour praticiens libéraux. Si vous proposez aussi la téléconsultation, vérifiez que les flux vidéo sont aussi chiffrés de pair à pair (P2P), sans transiter par les serveurs de l’éditeur.