Des individus se faisant passer pour des représentants de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM) appellent des officines françaises par téléphone pour soutirer des données professionnelles, notamment des adresses e-mail. L'ANSM a alerté l'Ordre national des pharmaciens (ONP), qui a relayé l'alerte cette semaine en rappelant que l'Agence ne sollicite jamais de données par téléphone. Ce que la plupart des équipes ignorent encore : même lorsqu'aucune donnée n'a été transmise, un appel suspect mérite d'être tracé en interne, car il constitue le signal avancé de campagnes d'hameçonnage plus ciblées.
Ce qui vient de se passer et pourquoi c'est urgent
L'alerte est officielle et récente. L'ANSM a transmis à l'ONP des signalements de démarchages téléphoniques frauduleux ciblant les officines, opérés en son nom, visant à capter les données de professionnels de santé. Plusieurs titulaires ont déjà reçu ces appels. Les interlocuteurs se présentent soit comme des agents de l'Agence, soit comme des prestataires mandatés par elle, et demandent des informations personnelles à caractère professionnel, à commencer par l'adresse e-mail du titulaire. Le signal d'alarme est clair : les conversations ont été interrompues par l'appelant dès que les pharmaciens ont exprimé le moindre doute sur la légitimité de la démarche. Ce comportement est caractéristique du vishing (phishing vocal), technique qui exploite la crédulité du professionnel plutôt qu'une faille informatique.
Ce n'est pas la première alerte de ce type. Dès 2022, l'ANSM signalait déjà des usurpations de son identité par téléphone. La recrudescence actuelle s'inscrit dans un mouvement plus large : le secteur officinal est devenu une cible stratégique pour les fraudeurs, précisément parce que les officines bénéficient d'une forte confiance institutionnelle et traitent des données de santé à haute valeur. Le nombre de pharmaciens inscrits à l'Ordre a atteint 75 080 au 1er janvier 2025 (ONP, panorama démographique 2025), ce qui représente une surface d'attaque élargie pour des opérations de démarchage de masse.
Le mécanisme de l'arnaque et pourquoi il fonctionne
L'ingénierie sociale est le moteur de cette fraude. L'Ordre national des pharmaciens l'a documenté dans son dossier cybersécurité de fin 2025 : cette technique vise à manipuler un professionnel en exploitant sa confiance ou sa crédulité, considérant le facteur humain comme le maillon faible de la sécurité des systèmes d'information. L'officine est un terrain particulièrement exposé : le téléphone est un canal professionnel de premier plan, les interlocuteurs institutionnels sont nombreux, et l'équipe en comptoir gère des appels entrants dans l'urgence du quotidien.
Le scénario type suit trois phases. L'appelant se présente avec un nom d'agent, cite l'ANSM ou une formulation du type « nous agissons pour le compte de l'Agence ». Il formule une demande qui semble administrative, comme la mise à jour d'une base de contacts professionnels. Puis il tente d'obtenir une adresse e-mail, un numéro de téléphone professionnel, voire des informations sur l'organisation interne de l'officine. Ces données, agrégées à d'autres sources, peuvent alimenter des campagnes de phishing ciblées bien plus dangereuses.
La règle de base à retenir est absolue : l'ANSM utilise exclusivement sa messagerie sécurisée pour toute demande de données. Elle ne contacte jamais par téléphone un professionnel pour lui demander des informations, sauf en réponse à une sollicitation que ce professionnel lui a adressée au préalable. Ses courriels portent exclusivement une adresse se terminant par @ansm.sante.fr.
Ce que ca change pour votre equipe et votre conformite
Deux dimensions sont directement affectées par cette alerte : la sécurité opérationnelle de l'équipe et la conformité RGPD de l'officine.
Sur le plan opérationnel, le risque ne concerne pas seulement le titulaire. Les préparateurs en pharmacie et les pharmaciens adjoints qui décrochent le téléphone sont les premiers exposés. Un appel peut survenir en l'absence du titulaire. La règle de ne jamais communiquer de données lors d'un appel non sollicité doit être connue de toute l'équipe, sans exception.
Sur le plan RGPD, le titulaire est responsable de traitement au sens du règlement européen. Il convient toutefois de distinguer deux situations. Tant qu'aucune donnée n'a été transmise, l'appel frauduleux est une tentative d'hameçonnage : il n'y a pas de violation de données au sens de l'article 4.12 du RGPD, qui suppose une destruction, une perte, une altération, une divulgation ou un accès non autorisé effectif. La bonne pratique consiste alors à consigner l'incident dans une main courante de sécurité interne, afin de garder une trace et d'alimenter la vigilance de l'équipe. En revanche, si une donnée a effectivement été divulguée, l'incident devient une violation de données : il doit être inscrit au registre des violations de l'officine et, si le risque pour les droits et libertés des personnes est avéré, notifié à la Commission nationale de l'informatique et des libertés (CNIL) dans un délai de 72 heures. Par ailleurs, les officines déclarant une activité globale annuelle supérieure à 2,6 millions d'euros hors taxes devraient en principe désigner un délégué à la protection des données (DPO) et réaliser une analyse d'impact, selon le référentiel CNIL adopté par délibération du 2 juin 2022. Ce référentiel n'a pas de valeur contraignante : le titulaire peut s'en écarter, à condition de pouvoir justifier son choix.
| Type d'arnaque | Entité usurpée | Ce qui est demandé | Signalement |
|---|---|---|---|
| Vishing ANSM (actuel) | ANSM | Adresse e-mail professionnelle, données de contact | ONP + DDPP + Guichet usager ANSM + plainte |
| Arnaque RGPD / CNIL | CNIL | Paiement pour mise en conformité | CNIL + DGCCRF + conseil régional ordinal |
| Démarchage DPC frauduleux | Ordre / ANDPC | Inscription formation, identifiants compte personnel | ANDPC + DDPP + signalement ONP |
| Hameçonnage e-CPS | Agence du Numérique en Santé (ANS) | Validation de notification mobile | Refus immédiat + signalement ANS |
| Sources : ONP (ordre.pharmacien.fr), ANSM (ansm.sante.fr), CNIL (cnil.fr), 2024-2026 | |||
"L'ANSM rappelle qu'elle utilise exclusivement son outil de messagerie sécurisée pour toute demande de ce type."
Ce que vous devez faire, et dans quel ordre
Action 1 : Briefer toute l'equipe aujourd'hui, en moins de 10 minutes
Réunie en début ou fin de service, présentez les 5 réflexes à adopter face à tout appel suspect se réclamant d'une autorité sanitaire. Réflexe 1 : ne jamais communiquer une adresse e-mail, un numéro de téléphone ou une donnée personnelle lors d'un appel entrant non sollicité. Réflexe 2 : demander le nom complet de l'appelant et son numéro de rappel, puis raccrocher pour vérifier l'authenticité de l'appel en contactant directement l'ANSM via le formulaire « Guichet usager » sur ansm.sante.fr. Réflexe 3 : ne jamais se laisser mettre sous pression par l'urgence formulée par l'appelant. Réflexe 4 : informer immédiatement le titulaire si l'appel est reçu par un adjoint ou un préparateur. Réflexe 5 : noter l'heure, le numéro appelant et le contenu de l'échange, même si aucune donnée n'a été transmise. Affichez ces 5 points près du poste téléphone de la zone de dispensation.
Action 2 : Reagir selon que des donnees ont ete transmises ou non
Si aucune donnée n'a été communiquée, consignez l'appel dans votre main courante de sécurité interne (date, heure, numéro, contenu) et signalez l'appel frauduleux via le formulaire Guichet usager de l'ANSM (ansm.sante.fr/contact). Vous pouvez également le signaler sur le portail gouvernemental PHAROS (internet-signalement.gouv.fr) pour tout contenu illicite associé. Si en revanche un membre de l'équipe a communiqué une donnée, même une simple adresse e-mail, le processus violation de données s'applique. Trois actions parallèles sont requises. D'abord, inscrire l'incident dans le registre des violations de données de l'officine, avec la date, la nature de la donnée divulguée et les mesures correctives prises (ce registre est obligatoire et contrôlable par la CNIL). Ensuite, si le risque pour les droits et libertés des personnes est avéré, notifier la CNIL dans un délai de 72 heures via le formulaire de notification disponible directement sur cnil.fr. Enfin, effectuer un signalement auprès de l'ONP via la rubrique « Comment faire un signalement » sur ordre.pharmacien.fr, et un signalement auprès de la Direction départementale de la protection des populations (DDPP) de votre département.
Action 3 : Verifier et tenir a jour votre registre de conformite RGPD
Cette alerte est l'occasion de s'assurer que votre registre des activités de traitement est bien tenu et à jour. PharmaPex centralise le suivi des alertes réglementaires, la documentation des incidents et les échéances de conformité de l'officine, pour que le titulaire dispose à tout moment d'une trace auditée en cas de contrôle. Reportez-vous au référentiel CNIL relatif à la gestion des officines de pharmacie (délibération du 2 juin 2022) et aux ressources de l'ONP sur la protection des données pour vérifier que votre registre couvre bien les traitements de données professionnelles et les procédures d'incident. Le suivi à mettre en place : vérifier mensuellement qu'aucun appel suspect n'a échappé au protocole de signalement interne.