La plateforme MesVaccins, spécialisée dans la gestion des carnets de vaccination numériques, a informé ses utilisateurs d’un incident de sécurité ayant entraîné l’accès non autorisé à certaines données personnelles. Selon le courrier adressé aux personnes concernées, la compromission aurait été portée à la connaissance de l’entreprise le 15 juin 2026.
D’après les premiers éléments communiqués, un tiers non autorisé aurait réussi à accéder à des informations traitées par la plateforme et à en obtenir une copie. Les investigations sont toujours en cours afin de déterminer avec précision l’étendue de l’incident.
Des données de santé potentiellement concernées
Dans son message, MesVaccins précise que plusieurs catégories de données pourraient avoir été exposées. Les informations mentionnées comprennent notamment :
- adresses e-mail ;
- numéros de téléphone ;
- données d’état civil ;
- numéro de sécurité sociale lorsqu’il était renseigné ;
- données vaccinales ;
- informations de profil santé renseignées par les utilisateurs.
La société indique que les mots de passe ne seraient pas concernés par l’incident, ceux-ci étant stockés sous forme chiffrée. Elle recommande néanmoins aux utilisateurs de modifier leur mot de passe par mesure de précaution.
Des informations médicales codées mais accessibles
Le courrier précise également que les données vaccinales et certaines informations liées au profil santé sont enregistrées sous forme codée. À ce stade des investigations, MesVaccins affirme ne pas avoir identifié d’exposition directe d’informations médicales en clair.
Cette précision ne signifie toutefois pas que les données de santé sont sans risque. Même lorsqu’elles sont stockées sous forme structurée ou codifiée, leur association avec une identité, un numéro de sécurité sociale ou des coordonnées personnelles peut représenter un enjeu important en matière de confidentialité.
Une plateforme utilisée pour le suivi vaccinal
MesVaccins est une plateforme française permettant la gestion numérique du carnet de vaccination. Le service est utilisé aussi bien par des particuliers que par des professionnels de santé afin de centraliser l’historique vaccinal, suivre les rappels et conserver certaines informations médicales associées.
La présence potentielle de données de santé et de numéros de sécurité sociale place donc cet incident dans une catégorie particulièrement sensible au regard du RGPD et des obligations de protection applicables aux données médicales.
Quels risques pour les utilisateurs ?
Les personnes concernées pourraient être exposées à des tentatives de phishing ciblé, à des campagnes d’usurpation d’identité ou à des escroqueries se faisant passer pour des organismes de santé, des mutuelles ou l’Assurance Maladie.
La combinaison de données d’identité, de coordonnées personnelles et d’informations liées au parcours vaccinal peut permettre à des acteurs malveillants de construire des messages particulièrement crédibles afin d’obtenir des informations complémentaires ou de diffuser des logiciels malveillants.
Une enquête toujours en cours
Au moment de l’envoi de cette notification, MesVaccins indiquait poursuivre ses investigations afin de déterminer précisément l’origine de l’incident et l’étendue réelle des données concernées. La plateforme affirme continuer à analyser les systèmes affectés et à surveiller d’éventuels impacts supplémentaires pour les utilisateurs.