Publicité en cours de chargement...
La société Nexpublica France sanctionnée par la Cnil
Nexpublica France a développé le progiciel PCRM, un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale, notamment pour certaines Maisons départementales des personnes handicapées (MDPH).
Des notifications de violation de données personnelles ont été adressées fin novembre 2022 par des clients de la société. Selon la Cnil, des usagers du portail avaient signalé avoir accès à des documents concernant des tiers. Les contrôles de la Cnil ont montré l’insuffisance des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité des données traitées au travers du logiciel PCRM.
La Cnil rappelle que l’article 32 du RGPD prévoit que le responsable de traitement et le sous-traitant doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », tenant compte « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ».
La Cnil s’est prononcée le 22 décembre, lors de la délibération de la formation restreinte chargée des sanctions, en considérant que la société ne s’est pas conformée à ces exigences pour la mise en œuvre de son PCRM compte tenu de la faiblesse généralisée du système d’information et de la négligence dont elle a fait preuve en laissant perdurer des problèmes structurels de sécurité.
La Cnil a notamment établi que les vulnérabilités constatées dans le PCRM non seulement relevaient pour la plupart d’une méconnaissance de l’état de l’art et de principes élémentaires en matière de sécurité, mais étaient par ailleurs connues et identifiées par la société grâce à plusieurs rapports d’audits. Le fait que la société soit spécialisée dans le conseil en systèmes et logiciels informatiques a été considéré comme une circonstance aggravante. Les failles n’auraient été corrigées qu’après les violations de données.
La société Nexpublica France est ainsi sanctionnée par une amende de 1 700 000 euros compte tenu des capacités financières de la société, de la méconnaissance de principes élémentaires en matière de sécurité, du nombre de personnes concernées et de la sensibilité des données traitées (révélant en particulier un handicap). La société ayant apporté les correctifs nécessaires à la suite des violations de données, aucune injonction de mise en conformité n’a donc été prononcée à son encontre.
Avez-vous apprécié ce contenu ?
A lire également.
Mise en place du Registre national des cancers
06 jan. 2026 - 07:54,
Actualité
- Damien Dubois, DSIHUn décret du Conseil d’État, paru le 28 décembre, fixe les modalités de mise en œuvre du Registre national des cancers. La loi du 30 juin 2025 confiait le pilotage et la production des données d’épidémiologie et de soins à l’Institut national du cancer.
Cyber : on est les meilleurs !
06 jan. 2026 - 07:46,
Tribune
-En 2025, on n’aura pas gagné la Coupe du monde de foot, on n’aura pas trouvé de pétrole sous l’Arc de Triomphe, on n’aura pas rapatrié Gemplus (que les Américains nous ont chipé dans les règles de l’art), mais on aura battu un record : celui du pays qui cumule le plus de fuites de données personnell...
VIDAL lance un programme stratégique d’intégration IA générative à sa base de connaissances médicales
23 déc. 2025 - 07:21,
Communiqué
- VIDALVIDAL, spécialiste européen de l’aide à la décision thérapeutique, engage un programme stratégique pour connecter les technologies d’Intelligence Artificielle (IA) de pointe à sa base de connaissances médicales et à ses outils d’aide à la décision (CDS), reconnus pour leur fiabilité. Ce projet marqu...
Webinaire : réussir son PCRA avec le programme CaRE, les clés partagées par Orange Cyberdefense
16 déc. 2025 - 14:03,
Communiqué
- Orange CyberdefenseOrange Cyberdefense organise un webinaire, le jeudi 8 janvier 2026 de 13h30 à 14h30, consacré à la phase opérationnelle du Domaine 2 du programme CaRE, dédié à la structuration des projets de continuité et de reprise d’activité (PCA/PRA) des établissements de santé.
