Prendre rendez-vous en ligne, recevoir un compte rendu d’analyse, consulter une ordonnance, transmettre un document à un spécialiste. Le parcours de soins passe désormais par une multitude de services numériques. Pratique, oui. Sans risque, beaucoup moins.
Avec Mon espace santé, les portails patients, les plateformes de téléconsultation, les logiciels utilisés en cabinet et les prestataires qui gravitent autour des établissements, les données médicales circulent dans une chaîne numérique beaucoup plus large qu’il y a quelques années. Les fuites massives de 2024, dont celles de Viamedis et Almerys, avaient déjà exposé les données administratives de millions d’assurés. Depuis, d’autres alertes ont déplacé le sujet vers les logiciels métier, les comptes de médecins compromis et les services régionaux de santé numérique.
Le problème ne se limite donc plus à un mauvais mot de passe côté patient. Vous n’avez pas la main sur l’infrastructure d’un hôpital, la sécurité d’un prestataire, les accès d’un cabinet médical ou les choix techniques d’une plateforme. En revanche, vous pouvez réduire une partie des risques, limiter les partages inutiles et éviter de transformer une fuite en escroquerie réussie.
Des données encadrées, mais une chaîne de plus en plus exposée
Les données de santé ne sont pas des informations personnelles comme les autres. Le RGPD les classe parmi les données sensibles, ce qui impose aux professionnels, établissements et prestataires qui les manipulent des obligations renforcées. En France, l’hébergement externalisé de données de santé doit notamment passer par des prestataires certifiés HDS lorsque le cadre l’exige. Cette certification encadre l’organisation, la sécurité des accès, la continuité de service, la traçabilité et la protection des infrastructures.
Ce cadre a son utilité, mais il ne supprime pas le risque. Les données de santé passent par des cabinets médicaux, des laboratoires, des établissements hospitaliers, des complémentaires santé, des logiciels métier, des plateformes de rendez-vous, des services de téléconsultation et des espaces numériques régionaux. Chaque maillon ajoute des usages pratiques, mais aussi des accès, des comptes, des prestataires et des configurations à protéger.
L’affaire Viamedis et Almerys l’a rappelé dès 2024. Les deux opérateurs de tiers payant ont subi une fuite qui a concerné plus de 33 millions de personnes. D’après la CNIL, les données exposées comprenaient notamment l’état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l’assureur santé et les garanties de contrat. Les données médicales, les remboursements, les coordonnées bancaires, les adresses postales, les numéros de téléphone et les courriels n’étaient pas concernés selon les éléments communiqués. Ce n’était donc pas une fuite de dossiers médicaux au sens strict, mais les informations exposées suffisaient largement à nourrir des tentatives de phishing beaucoup plus crédibles.
Depuis, le sujet a changé d’échelle. L’incident visant Cegedim Santé et son logiciel MonLogicielMedical, détecté fin 2025 puis rendu public début 2026, a montré que le risque pouvait aussi venir des outils utilisés au quotidien par les professionnels.
Comptes, accès, partages, les réflexes qui limitent les dégâts
Le premier réflexe consiste à privilégier les canaux prévus pour les échanges médicaux. Un compte rendu d’analyse, une ordonnance ou un courrier de spécialiste ne devrait pas circuler au hasard dans une boîte mail personnelle, un service de stockage grand public ou une messagerie instantanée. Quand c’est possible, utilisez Mon espace santé, le portail patient d’un établissement, l’espace sécurisé d’un laboratoire, la plateforme de téléconsultation ou la messagerie prévue par le professionnel de santé.
Mon espace santé mérite aussi un contrôle régulier. Le service regroupe notamment le dossier médical partagé, une messagerie sécurisée, un agenda de santé et un catalogue de services référencés. Le DMP peut contenir des comptes rendus, des résultats d’examens, des ordonnances, des antécédents, des allergies ou des documents ajoutés par les professionnels comme par la personne titulaire du compte. Ce n’est donc pas un espace que l’on ouvre puis que l’on oublie. Prenez le temps de vérifier les documents présents, les accès accordés et l’historique des actions réalisées sur le dossier.
Les comptes liés à la santé doivent ensuite être traités comme des comptes sensibles. Assurance maladie, complémentaire santé, laboratoire, plateforme de rendez-vous, portail hospitalier, service de téléconsultation, pharmacie en ligne autorisée, application connectée à un service de soin. Tous doivent disposer d’un mot de passe long, unique, stocké dans un gestionnaire fiable. La réutilisation d’un ancien mot de passe suffit parfois à ouvrir un compte, surtout après une fuite sur un service sans rapport direct avec la santé.
L’authentification à deux facteurs doit aussi être activée dès qu’elle existe. Une application d’authentification ou une clé de sécurité offre une meilleure protection qu’un simple code reçu par SMS, même si tous les services ne proposent pas encore les mêmes options. L’idée n’est pas de transformer chaque connexion en parcours du combattant, mais de protéger les accès qui peuvent exposer des documents, des remboursements, des informations d’identité ou des échanges médicaux.
Les applications santé et bien-être demandent elles aussi un peu de tri. Toutes n’ont pas vocation à accéder à des données médicales, à votre localisation, à vos contacts ou à des informations issues d’objets connectés. Avant d’autoriser un partage, regardez qui édite le service, quelles données sont demandées, à quoi elles servent et comment vous pouvez retirer l’accès. Les services référencés dans Mon espace santé offrent un cadre plus contrôlé que des applications installées au hasard, mais cela ne dispense pas de lire les autorisations demandées.
Après une fuite, la priorité consiste surtout à éviter le piège du message trop crédible. Un SMS qui parle de carte Vitale, un mail de complémentaire santé, une fausse demande de remboursement ou un formulaire qui réclame un RIB peuvent s’appuyer sur des informations déjà volées. Ne passez pas par le lien reçu. Ouvrez le site officiel depuis votre navigateur, lancez l’application habituelle ou contactez directement l’organisme concerné. Aucun service sérieux ne devrait vous demander un mot de passe, un code de validation ou des coordonnées bancaires depuis un lien envoyé sous pression.
Wi-Fi public et VPN, sécuriser aussi la connexion
Consulter un portail patient, une messagerie médicale, un espace de remboursement ou un compte de téléconsultation depuis un réseau public ajoute un risque supplémentaire. Un Wi-Fi d’hôtel, de gare, d’aéroport, de cabinet partagé ou d’espace de coworking n’est pas forcément dangereux, mais vous ne savez pas toujours qui l’administre, comment il filtre le trafic, ni quels appareils y sont connectés.
Les sites en HTTPS protègent déjà le contenu des échanges entre votre navigateur et le service consulté. En revanche, ils ne protègent pas d’un faux réseau, d’un portail captif douteux, d’une configuration Wi-Fi trop permissive ou d’un appareil déjà compromis. Ils ne masquent pas non plus votre adresse IP au réseau utilisé, ni toutes les informations visibles côté infrastructure.
Vous pouvez aussi utiliser un VPN lorsque vous vous connectez depuis un réseau que vous ne maîtrisez pas. Il chiffre le trafic entre votre appareil et le serveur VPN, isole votre connexion du réseau local et limite ce que le Wi-Fi utilisé peut observer, notamment lorsque les requêtes DNS passent elles aussi par le tunnel. C’est utile pour consulter un portail patient, une messagerie médicale ou un espace de remboursement hors de chez vous.
Un VPN ne remplace pas les autres protections. Les mots de passe uniques, l’authentification à deux facteurs, les canaux de partage adaptés et la vérification des accès protègent les comptes et les documents eux-mêmes. Le VPN, lui, réduit le risque lié au réseau utilisé au moment de la connexion.
Dans la pratique, évitez les démarches sensibles depuis un réseau public lorsqu’elles peuvent attendre. Si vous devez vous connecter, activez le VPN, passez par l’application officielle ou par un favori déjà enregistré, vérifiez l’adresse du site, refusez les portails captifs qui réclament trop d’informations et gardez votre navigateur comme votre système à jour.
