Attaque

Vaccination scolaire en Auvergne-Rhône-Alpes : données d’enfants et numéros de Sécurité sociale exposés

Une fuite de données touche la plateforme utilisée en Auvergne-Rhône-Alpes pour recueillir les autorisations parentales dans le cadre des campagnes de vaccination au collège. Un tiers non autorisé aurait pu accéder à des informations concernant des élèves mineurs et leurs représentants légaux.

L’incident concerne SYADEM, le prestataire technique chargé de la plateforme utilisée pour les campagnes de vaccination contre les papillomavirus humains (HPV) et les infections invasives à méningocoque ACWY (MenACWY).

Une plateforme d’autorisations parentales compromise

La plateforme permet aux parents d’autoriser la vaccination de leur enfant directement dans le cadre des campagnes organisées au collège. Elle centralise donc des informations d’identité, des coordonnées ainsi que plusieurs données nécessaires à la prise en charge administrative de la vaccination.

Selon les informations communiquées, un tiers non autorisé a pu accéder à une partie des données hébergées et en obtenir une copie. L’incident serait désormais maîtrisé et des mesures de sécurité supplémentaires auraient été mises en place.

Des élèves mineurs potentiellement concernés

À ce stade, les investigations ne permettraient pas d’identifier précisément toutes les personnes dont les informations ont été consultées. Par mesure de précaution, les enfants ayant participé aux campagnes de vaccination scolaire sont considérés comme susceptibles d’être concernés.

La région Auvergne-Rhône-Alpes a recueilli plusieurs milliers d’autorisations parentales dans le cadre des campagnes HPV et méningocoque menées au cours de l’année scolaire 2025-2026. Le nombre exact de personnes touchées par l’incident n’a toutefois pas été communiqué.

Quelles données ont pu être exposées ?

Les informations potentiellement concernées sont celles renseignées par les familles dans les formulaires d’autorisation parentale.

Pour les élèves, les données peuvent notamment comprendre :

  • nom et prénom ;
  • date de naissance ;
  • sexe ;
  • code postal et commune de résidence ;
  • établissement scolaire ;
  • informations vaccinales enregistrées sous une forme codée.

Les informations des représentants légaux peuvent également être concernées :

  • nom et prénom ;
  • numéro de téléphone ;
  • adresse email ;
  • signature ;
  • numéro de Sécurité sociale ;
  • régime d’assurance maladie.

Pas de données médicales exposées en clair à ce stade

Les données liées à la vaccination seraient enregistrées sous une forme codée. À ce stade des investigations, aucune exposition directe d’informations médicales en clair n’aurait été identifiée.

Les mots de passe ne seraient pas non plus directement concernés. Ils auraient été stockés sous une forme chiffrée. Les utilisateurs disposant d’un accès à la plateforme sont néanmoins invités, par précaution, à modifier leur mot de passe.

Une fuite particulièrement sensible en raison des mineurs concernés

La sensibilité de l’incident vient de la combinaison des données exposées. Une même fiche peut potentiellement relier l’identité d’un enfant à ses parents, son collège, son lieu de résidence, des coordonnées de contact et un numéro de Sécurité sociale.

Même en l’absence de données médicales lisibles, le contexte de la plateforme révèle que les familles ont participé à une campagne de vaccination scolaire. Ces informations peuvent être utilisées pour créer des messages frauduleux très personnalisés.

Quels risques pour les familles ?

Le principal risque concerne le phishing ciblé. Des fraudeurs pourraient se faire passer pour une agence régionale de santé, un collège, un centre de vaccination, l’Assurance Maladie ou le prestataire technique.

Les scénarios possibles incluent de faux messages concernant :

  • une autorisation parentale incomplète ;
  • un rendez-vous de vaccination ;
  • une mise à jour du dossier de l’enfant ;
  • un remboursement de l’Assurance Maladie ;
  • une vérification du numéro de Sécurité sociale ;
  • une prétendue connexion obligatoire à la plateforme.

La présence potentielle d’une signature et d’un numéro de Sécurité sociale augmente également le risque d’usurpation d’identité ou de fraude administrative.

Un incident qui dépasse l’Auvergne-Rhône-Alpes

Des communications similaires ont été publiées dans plusieurs régions françaises utilisant la plateforme de SYADEM pour les campagnes de vaccination scolaire. L’incident semble donc concerner le prestataire technique et non un établissement scolaire ou une agence régionale de santé isolée.

Le périmètre national exact reste encore à déterminer. Les autorités cherchent notamment à identifier les personnes dont les données ont réellement été consultées ou copiées.

La CNIL informée et une plainte déposée

La CNIL a été informée de l’incident et une plainte a été déposée auprès des autorités compétentes. Les familles potentiellement concernées doivent être informées individuellement lorsque leur identification est possible.

Les investigations se poursuivent afin de déterminer l’origine exacte de l’accès, la quantité de données copiées et le nombre réel d’enfants et de représentants légaux concernés.

Que doivent faire les parents concernés ?

Les familles doivent rester particulièrement vigilantes face aux emails, SMS ou appels évoquant la vaccination de leur enfant, leur collège, l’Assurance Maladie ou une autorisation parentale.

Il est recommandé de ne jamais communiquer un mot de passe, des coordonnées bancaires, un numéro de Sécurité sociale ou des informations de santé sans avoir vérifié l’identité de l’interlocuteur. Toute demande inhabituelle doit être contrôlée directement auprès du centre de vaccination ou de l’organisme concerné via un canal officiel.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires