Os “dados administrativos” de cerca de 15 milhões de franceses, bem como comentários escritos pelos seus médicos, foram objecto de uma fuga massiva durante um ataque cibernético que teve como alvo 1.500 médicos usando software da empresa Cegedim Santé, informou o Ministério da Saúde na sexta-feira.
O ministério ordenou que a empresa “implementasse medidas corretivas” com urgência.
Se esta fuga dizia respeito principalmente a dados como apelido, nome, número de telefone ou mesmo endereço postal de pacientes, também, para 169 mil deles, dizia respeito a anotações gratuitas inseridas por médicos, “algumas das quais podem ser dados sensíveis”, ou “1% dos casos”, especificou o ministério durante uma coletiva de imprensa.
“Não há documentos de saúde que tenham sido divulgados, nem receitas, nem resultados de exames de biologia”, disse, embora admitindo não ter “visibilidade exaustiva sobre a extensão dos dados administrativos” dos “15 milhões de pessoas que constam nas bases de dados” que vazaram.
Para o ministério, o único facto novo relativo a este cyberhack que “data do final de 2025” é a sua “reivindicação do hacker”, à “identidade” e “nacionalidade” que actualmente não são identificadas. “Não podemos dizer se ele próprio está na origem ou se recuperou os ficheiros como parte de uma publicação na dark web”, disse a mesma fonte.
De acordo com a France 2, que revelou o caso na noite de quinta-feira, dados “muito precisos” provenientes do vazamento são “livremente acessíveis” na Internet e lá aparecem informações sobre líderes políticos proeminentes. O ministério não deu detalhes sobre este último ponto.
Na sexta-feira, o Ministério da Saúde disse à AFP que ordenou à empresa Cegedim Santé, um importante fornecedor de software médico, que “implementasse imediatamente” medidas corretivas após este ataque cibernético e fornecesse “garantias” para evitar novas fugas de dados.
– “Anotações pessoais” de médicos –
Importante player do setor de hospedagem de dados médicos em França, que também gere a faturação dos profissionais de saúde, a Cegedim Santé – subsidiária da Cegedim – admitiu na sexta-feira ter sido vítima, no final de 2025, de um ciberataque que teve como alvo 1.500 profissionais dos 3.800 médicos que utilizam o seu software MLM, resultando numa fuga de dados pessoais dos pacientes.
“Após extensas investigações, parece que os dados pessoais dos pacientes da frota de software MLM foram consultados ou extraídos ilegalmente”, afirmou a empresa, sem estimar o número de pessoas afetadas.
Para a Cegedim, os dados em causa provêm “exclusivamente” do processo administrativo dos pacientes (apelido, nome, sexo, data de nascimento, número de telefone, etc.) que poderia, no entanto, conter, para “um número muito limitado” deles, “anotações pessoais do médico sobre informações sensíveis”.
Os “prontuários estruturados dos pacientes permaneceram intactos”, afirmou a empresa, especificando que informou as autoridades deste incidente que foi “contido” e apresentou queixa ao Ministério Público.
– “Sob investimento” –
O ministério, por seu lado, apontou a responsabilidade do “prestador de serviços privado, responsável pelo tratamento de dados”, insistindo que esta fuga “não resulta nem de uma falha dos sistemas do ministério, nem de uma infraestrutura diretamente sob o controlo do Estado”.
Mas “os dados de saúde têm uma dimensão emocional muito forte, porque afectam a privacidade” dos indivíduos, razão pela qual “beneficiam de um nível de protecção jurídica superior à lista das suas compras no cartão de fidelização do supermercado”, sublinha à AFP o especialista Nicolas Arpagian, director de estratégia da empresa Jizô AI.
Para Gérôme Billois, especialista em cibersegurança da Wavestone, esta fuga “muito grave”, que poderá ser “a maior de França” na saúde, terá “consequências irremediáveis”. Porque “as informações de saúde que dizem: ‘Você tem AIDS’ ou ‘você tem esta doença’, uma vez eliminada, você nunca mais poderá voltar atrás”, disse ele à AFP.
Ele vê isso como consequência do “subinvestimento em segurança cibernética durante anos” no setor da saúde.
Segundo o ministério, o facto de um médico registar anotações relativas “à vida quotidiana e à privacidade dos pacientes” não infringe o regulamento geral de protecção de dados (RGPD).
Em setembro de 2024, a Comissão Nacional de Informática e Liberdades (Cnil) aplicou uma multa de 800 mil euros à Cegedim Santé, por ter tratado dados de saúde sem autorização, apontando “a gravidade das violações” observadas e o “natureza massiva” do tratamento dos dados em causa.
Contactado pela AFP, o CNIL não reagiu de imediato.