Sanction RGPD : La CNIL sanctionne NEXPUBLICA FRANCE à hauteur de 1,7 million d’euros

Sanction RGPD : La CNIL sanctionne NEXPUBLICA FRANCE à hauteur de 1,7 million d’euros
Événement

Le 22 décembre 2025, la CNIL a rendu une décision marquante en matière de sécurité des données personnelles en sanctionnant la société NEXPUBLICA FRANCE d’une amende de 1 700 000 euros.
Cette sanction fait suite à des manquements graves à l’obligation de sécurité prévue par l’article 32 du RGPD, concernant un logiciel largement utilisé dans le secteur de l’action sociale.

Au-delà du montant, cette décision illustre une nouvelle fois l’exigence élevée attendue des éditeurs de logiciels, en particulier lorsque les traitements portent sur des données sensibles et concernent des personnes vulnérables.


Le contexte : un logiciel au cœur de l’action sociale

La société NEXPUBLICA FRANCE (anciennement INETUM SOFTWARE FRANCE) est spécialisée dans la conception de systèmes et logiciels informatiques.
Elle développe notamment le progiciel PCRM, un outil de gestion de la relation avec les usagers, utilisé dans le domaine de l’action sociale par plusieurs organismes publics, dont des Maisons départementales des personnes handicapées (MDPH).

Ce logiciel permet de traiter des volumes importants de données personnelles, parmi lesquelles figurent des données particulièrement sensibles, notamment relatives au handicap des personnes concernées.

Fin novembre 2022, plusieurs clients de NEXPUBLICA FRANCE notifient à la CNIL des violations de données personnelles.
Des usagers du portail PCRM signalent en effet avoir eu accès à des documents concernant des tiers, révélant des dysfonctionnements graves dans la gestion des habilitations et des accès.

À la suite de ces notifications, la CNIL engage des contrôles auprès de la société éditrice afin d’évaluer les mesures de sécurité mises en œuvre.


Une sécurité largement insuffisante

Les contrôles réalisés par la CNIL mettent en évidence une insuffisance des mesures techniques et organisationnelles destinées à garantir la sécurité des données traitées via le logiciel PCRM.

La formation restreinte relève notamment que les vulnérabilités constatées :

  • résultaient, pour la plupart, d’une méconnaissance de l’état de l’art et de principes élémentaires de sécurité ;
  • étaient connues et identifiées par la société, notamment au travers de plusieurs rapports d’audits ;
  • n’ont été corrigées qu’après la survenance des violations de données.

Autrement dit, la problématique ne résidait pas dans l’absence totale de diagnostic, mais dans le défaut de mise en œuvre effective des correctifs nécessaires.

La CNIL souligne également une faiblesse généralisée du système d’information, ainsi qu’une négligence persistante, les problèmes structurels de sécurité ayant perduré dans le temps.


Le manquement à l’article 32 du RGPD

L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Cette appréciation doit tenir compte notamment :

  • de l’état des connaissances,
  • des coûts de mise en œuvre,
  • de la nature, de la portée, du contexte et des finalités du traitement,
  • ainsi que des risques pour les droits et libertés des personnes concernées.

En l’espèce, la formation restreinte considère que NEXPUBLICA FRANCE ne s’est pas conformée à ces exigences, compte tenu :

  • de la sensibilité des données traitées,
  • du nombre de personnes concernées,
  • et du caractère évitable de nombreuses vulnérabilités constatées.


Des circonstances aggravantes clairement identifiées

Plusieurs éléments ont pesé lourdement dans la décision de sanction :

  • La sensibilité des données : les données traitées révélaient notamment un handicap, catégorie de données bénéficiant d’une protection renforcée au titre du RGPD ;
  • Le nombre de personnes concernées, compte tenu de l’utilisation du logiciel par des organismes publics ;
  • La durée et la persistance des failles, malgré leur identification préalable ;
  • L’activité même de la société, spécialisée dans le conseil et le développement de systèmes et logiciels informatiques, ce qui impliquait un haut niveau d’expertise attendu en matière de sécurité.

Avec cette sanction de 1,7 million d’euros, la CNIL rappelle que la sécurité des données personnelles est une obligation centrale du RGPD, en particulier lorsque sont en jeu des données sensibles et des publics vulnérables.

Pour les éditeurs de logiciels comme pour les organismes publics, cette décision constitue un rappel clair :
la sécurité ne peut être ni différée, ni minimale, ni purement déclarative. Elle doit être intégrée, suivie et démontrée.

Retour aux actualités
Partager l'article

Articles similaires

Google Gemini s’invite dans votre vie privée
Article RGPD Événement

Google Gemini s’invite dans votre vie privée

On tous déjà entendu parler de Gemini, l’IA de Google reconnue pour sa capacité à comprendre, anticiper et simplifier notre quotidien. Mais une nouvelle étape se profile : à partir du 7 juillet 2025, cette IA pourra accéder à vos SMS, e-mails et journaux d’appels sur Android. Derrière cette promesse d’efficacité, une question cruciale se pose : jusqu’où sommes-nous prêts à aller en matière de partage de nos données personnelles face à cette intelligence artificielle ?
Lire la suite
Les images sur internet et le RGPD : Ce qu’il faut savoir
Article RGPD Événement

Les images sur internet et le RGPD : Ce qu’il faut savoir

L’utilisation des images, qu'elles soient partagées sur les réseaux sociaux ou employées dans des campagnes publicitaires, doit respecter les normes du RGPD (Règlement Général sur la Protection des Données). Les entreprises doivent obtenir un consentement explicite et respecter les droits des utilisateurs avant de les utiliser. Cet article explore les principaux enjeux liés à l’utilisation des images sous le RGPD.
Lire la suite