La société Nexpublica France sanctionnée par la Cnil

Nexpublica France a développé le progiciel PCRM, un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale, notamment pour certaines Maisons départementales des personnes handicapées (MDPH).

Des notifications de violation de données personnelles ont été adressées fin novembre 2022 par des clients de la société. Selon la Cnil, des usagers du portail avaient signalé avoir accès à des documents concernant des tiers. Les contrôles de la Cnil ont montré l’insuffisance des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées au travers du logiciel PCRM.

La Cnil rappelle que l’article 32 du RGPD prévoit que le responsable de traitement et le sous-traitant doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », tenant compte « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ».

La Cnil s’est prononcée le 22 décembre, lors de la délibération de la formation restreinte chargée des sanctions, en considérant que la société ne s’est pas conformée à ces exigences pour la mise en œuvre de son PCRM compte tenu de la faiblesse généralisée du système d’information et de la négligence dont elle a fait preuve en laissant perdurer des problèmes structurels de sécurité.

La Cnil a notamment établi que les vulnérabilités constatées dans le PCRM non seulement relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité, mais étaient par ailleurs connues et identifiées par la société grâce à plusieurs rapports d’audits. Le fait que la société soit spécialisée dans le conseil en systèmes et logiciels informatiques a été considéré comme une circonstance aggravante. Les failles n’auraient été corrigées qu’après les violations de données.

La société Nexpublica France est ainsi sanctionnée par une amende de 1 700 000 euros compte tenu des capacités financières de la société, de la méconnaissance de principes élémentaires en matière de sécurité, du nombre de personnes concernées et de la sensibilité des données traitées (révélant en particulier un handicap). La société ayant apporté les correctifs nécessaires à la suite des violations de données, aucune injonction de mise en conformité n’a donc été prononcée à son encontre.