Incident de sécurité

Un incident de sécurité concernant des données personnelles relatives au Carnet de Vaccination Numérique a été porté à notre connaissance le 15 juin 2026. Les investigations en cours indiquent qu'un tiers non autorisé a accédé à certaines données personnelles traitées par la plateforme et en a obtenu une copie. Voici les éléments dont nous disposons à ce jour.

Foire aux questions

Quelles sont les données potentiellement concernées ?

À ce stade des investigations, les catégories de données potentiellement concernées sont les suivantes :

  • les informations d’identification et de contact (adresse e-mail et numéro de téléphone). Les mots de passe, stockés sous forme chiffrée, ne sont pas concernés par cet incident. À titre de précaution générale, vous pouvez néanmoins modifier votre mot de passe ;
  • les données d’état civil, l’adresse de résidence ainsi que le numéro de sécurité sociale lorsqu’il a été renseigné ;
  • les données vaccinales et les informations du profil santé, lorsque celui-ci a été renseigné. Ces données sont enregistrées sous forme codée. À ce stade des investigations, nous n’avons pas identifié d’exposition directe des informations médicales en clair ;
  • aucune information bancaire n’est concernée par cet incident.

Qui est concerné ?

Nous ne sommes pas en mesure d’identifier avec certitude les personnes concernées. Par mesure de précaution, nous considérons que l’ensemble des titulaires d’un Carnet de Vaccination Numérique est susceptible d’être concerné par cet incident.

Que dois-je faire ?

Nous vous recommandons de faire preuve d'une vigilance particulière vis-à-vis des courriels, SMS ou appels téléphoniques inhabituels vous demandant des informations personnelles, médicales ou financières.

En cas de doute, ne communiquez aucune information sensible et vérifiez systématiquement l'identité de votre interlocuteur.

À titre de précaution générale, vous pouvez également modifier votre mot de passe.

La déclaration à la CNIL a-t-elle été faite ?

Oui. Conformément à nos obligations réglementaires, la CNIL (Commission nationale de l’informatique et des libertés) a été notifiée de cet incident le 15 juin 2026.

Une plainte a-t-elle été déposée ?

Oui. Une plainte a été déposée auprès des autorités compétentes.

Dois-je porter plainte individuellement ?

Une démarche individuelle n’est pas nécessaire, sauf si vous avez subi un préjudice direct ou si vous constatez une tentative d’utilisation frauduleuse de vos données.

Les services sont-ils toujours disponibles ?

Oui. Le logiciel Colibri, le Carnet de Vaccination Numérique et le Carnet de Vaccination Numérique Professionnel demeurent accessibles et utilisables normalement.

Les mesures de sécurisation mises en œuvre à la suite de l’incident n’ont pas entraîné d’interruption de service pour les utilisateurs.

Quels sont les risques liés à l’incident ?

L'accès non autorisé à des données personnelles peut, dans certains cas, entraîner des tentatives d’utilisation malveillante par des tiers. Nous vous invitons notamment à rester attentif aux situations suivantes :

  • tentatives de phishing ou hameçonnage par e-mail, SMS ou téléphone ;
  • sollicitations commerciales non désirées ;
  • dans des cas plus rares, tentative d’usurpation d’identité.

Comment limiter les risques ?

Soyez vigilant face aux messages inhabituels, notamment ceux qui vous demandent de transmettre des informations personnelles, médicales, bancaires ou des copies de documents d’identité.

Ne cliquez pas sur un lien suspect et ne communiquez jamais d’informations sensibles à la suite d’un message ou d’un appel non sollicité. En cas de doute, contactez directement l’organisme concerné en utilisant ses coordonnées officielles.

Pour toute question ou accompagnement, vous pouvez également consulter la plateforme officielle cybermalveillance.gouv.fr

Que faites-vous concrètement pour nous protéger ?

Dès la découverte de cet événement, nous avons immédiatement mis en œuvre des mesures de sécurisation renforcées afin de contenir l'incident et de prévenir tout nouvel accès non autorisé.

Les principales actions déjà réalisées ou en cours sont les suivantes :

  • déconnexion des environnements concernés et reconstruction complète de l'infrastructure de production ;
  • audit approfondi du système de production et vérification de l'intégrité des environnements ;
  • renforcement des mécanismes d'authentification et de gestion des habilitations relatifs au dépôt de codes ;
  • externalisation et sécurisation des accès au dépôt de codes ;
  • isolement renforcé des différents traitements et environnements techniques.

Par ailleurs, plusieurs actions complémentaires sont engagées afin de renforcer durablement notre niveau de sécurité :

  • renforcement des audits de sécurité et des tests d'intrusion réalisés par des prestataires spécialisés ;
  • revue et renforcement des procédures internes de gestion des accès, des habilitations et des postes de travail.

Les principes applicables à la protection des données personnelles sont décrits dans nos mentions légales et notre politique de confidentialité.